Αρχική σελίδα » σχολείο » Χρησιμοποιώντας την Εξερεύνηση διεργασιών για την αντιμετώπιση προβλημάτων και τη διάγνωση

    Χρησιμοποιώντας την Εξερεύνηση διεργασιών για την αντιμετώπιση προβλημάτων και τη διάγνωση

    Η κατανόηση του τρόπου με τον οποίο λειτουργούν τα παράθυρα διαλόγου και οι επιλογές διερεύνησης του Process Explorer είναι όλα ωραία και καλή, αλλά τι γίνεται με τη χρήση του για κάποια συγκεκριμένη αντιμετώπιση προβλημάτων ή για τη διάγνωση ενός προβλήματος; Το σημερινό μάθημα Geek School θα προσπαθήσει να σας βοηθήσει να μάθετε πώς να το κάνετε ακριβώς αυτό.

    ΣΧΟΛΙΚΗ ΠΛΟΗΓΗΣΗ
    1. Ποια είναι τα εργαλεία SysInternals και πώς τα χρησιμοποιείτε?
    2. Κατανόηση διερεύνησης διεργασιών
    3. Χρησιμοποιώντας την Εξερεύνηση διεργασιών για την αντιμετώπιση προβλημάτων και τη διάγνωση
    4. Κατανόηση της διαδικασίας παρακολούθησης
    5. Χρησιμοποιώντας την Παρακολούθηση διαδικασιών για την αντιμετώπιση προβλημάτων και την εύρεση αμυχών στο μητρώο
    6. Χρησιμοποιώντας το Autoruns για την αντιμετώπιση των διαδικασιών εκκίνησης και των κακόβουλων προγραμμάτων
    7. Χρησιμοποιώντας το BgInfo για την εμφάνιση πληροφοριών συστήματος στην επιφάνεια εργασίας
    8. Χρησιμοποιώντας PsTools για τον έλεγχο άλλων υπολογιστών από τη γραμμή εντολών
    9. Ανάλυση και διαχείριση αρχείων, φακέλων και μονάδων δίσκου
    10. Περιτύλιγμα και χρήση των εργαλείων μαζί

    Όχι πολύ καιρό πριν, ξεκινήσαμε να εξετάζουμε όλα τα είδη malware και crapware που εγκαθίστανται αυτόματα κάθε φορά που δεν δίνετε προσοχή κατά την εγκατάσταση λογισμικού. Σχεδόν κάθε κομμάτι του ελεύθερου λογισμικού στην αγορά, συμπεριλαμβανομένων των "αξιόπιστων", συνδέει τις γραμμές εργαλείων, ψάχνει για τρομοκρατία ή adware, και μερικά από αυτά είναι δύσκολο να αντιμετωπίσετε.

    Έχουμε δει πολλούς υπολογιστές από ανθρώπους που ξέρουμε ότι έχουν εγκατασταθεί τόσο πολύ spyware και adware ότι ο υπολογιστής μόλις φορτώνει πια. Προσπαθώντας να φορτώσετε το πρόγραμμα περιήγησης ιστού, είναι σχεδόν αδύνατο, καθώς όλο το adware και το λογισμικό παρακολούθησης ανταγωνίζονται για πόρους για να κλέψουν τα προσωπικά σας στοιχεία και να τα πουλήσουν στον πλειοδότη.

    Φυσικά, θέλαμε να κάνουμε μια μικρή έρευνα για το πώς κάποια από αυτά λειτουργούν και δεν υπάρχει καλύτερο σημείο για να ξεκινήσετε από το κακόβουλο λογισμικό Conduit Search το οποίο έχει διεκδικήσει εκατοντάδες εκατομμύρια υπολογιστές παγκοσμίως. Αυτή η άσχημη αμηχανία καταλήγει στη μηχανή αναζήτησής σας στο πρόγραμμα περιήγησής σας, αλλάζει την αρχική σας σελίδα και, πιο ενοχλητικά, αναλαμβάνει τη σελίδα της νέας καρτέλας, ανεξάρτητα από το τι έχει ορίσει το πρόγραμμα περιήγησης.

    Θα ξεκινήσουμε με το να το εξετάσουμε και στη συνέχεια θα σας δείξουμε πώς να χρησιμοποιήσετε τον Process Explorer για την αντιμετώπιση προβλημάτων που μιλούν για κλειδωμένα αρχεία και φακέλους που χρησιμοποιούνται.

    Και τότε θα το ολοκληρώσουμε με μια άλλη ματιά στο πώς ορισμένες adware αυτές τις μέρες κρύβονται πίσω από τις διαδικασίες της Microsoft, ώστε να φαίνονται legit στο Process Explorer ή Task Manager, ακόμα κι αν δεν είναι πραγματικά.

    Διερεύνηση του κακόβουλου λογισμικού αναζήτησης Conduit

    Όπως αναφέραμε, ο αεροπειρατής αναζήτησης Conduit είναι ένα από τα πιο επίμονα, απαίσια και τρομερά πράγματα που σχεδόν κάθε ένας από τους συγγενείς σας έχει πιθανώς στον υπολογιστή τους. Συνδέουν το λογισμικό τους με σκιερούς τρόπους με οποιοδήποτε δωρεάν λογισμικό μπορούν και σε πολλές περιπτώσεις, ακόμη και αν επιλέξετε να εξαιρεθεί, ο αεροπειρατής θα εγκατασταθεί ακόμα.

    Η Conduit εγκαθιστά αυτό που αποκαλούν "Αναζήτηση Προστασίας", το οποίο ισχυρίζονται ότι αποτρέπει το κακόβουλο λογισμικό από την πραγματοποίηση αλλαγών στο πρόγραμμα περιήγησής σας. Αυτό που δεν αναφέρουν είναι ότι σας εμποδίζει επίσης να κάνετε οποιεσδήποτε αλλαγές στο πρόγραμμα περιήγησής τους, εκτός εάν χρησιμοποιήσετε τον πίνακα "Προστασία αναζήτησης" για να κάνετε αυτές τις αλλαγές, τις οποίες οι περισσότεροι άνθρωποι δεν θα ξέρουν αφού είναι θαμμένοι στο δίσκο συστήματος.

    Όχι μόνο η Conduit θα ανακατευθύνει όλες τις αναζητήσεις σας στη δική τους προσαρμοσμένη σελίδα Bing, θα το ορίσει ως την αρχική σας σελίδα. Κάποιος θα πρέπει να υποθέσει ότι η Microsoft τους πληρώνει για όλη αυτή την κίνηση στον Bing, καθώς περνούν επίσης μερικά ?pc = αγωγός τύπος των παραδειγμάτων στη συμβολοσειρά ερωτήματος.

    Γεγονός διασκέδασης: η εταιρεία πίσω από αυτό το κομμάτι σκουπιδιών αξίζει 1,5 δισεκατομμύρια δολάρια και η JP Morgan επένδυσε 100 εκατομμύρια δολάρια σε αυτά. Το να είσαι κακό είναι κερδοφόρο.

    Η Conduit Hijacks τη Νέα Σελίδα Tab ... Αλλά Πώς?

    Η αεροπειρατεία της αναζήτησης και της αρχικής σας σελίδας είναι τετριμμένη για κάθε κακόβουλο λογισμικό - αυτό είναι όπου το Conduit ενισχύει το κακό και ξαναγράφει με οποιονδήποτε τρόπο τη σελίδα της Νέας καρτέλας για να την αναγκάσει να εμφανίσει το Conduit, ακόμα και αν αλλάξετε κάθε ρύθμιση.

    Μπορείτε να απεγκαταστήσετε όλα τα προγράμματα περιήγησής σας ή ακόμα και να εγκαταστήσετε ένα πρόγραμμα περιήγησης που δεν είχατε εγκαταστήσει πριν, όπως το Firefox ή το Chrome, ενώ το Conduit θα καταφέρει ακόμα να καταλάβει τη σελίδα της νέας καρτέλας.

    Κάποιος πρέπει να είναι στη φυλακή, αλλά είναι πιθανώς σε ένα γιοτ.

    Δεν χρειάζεται πολύ από την άποψη των δεξιοτήτων geek να συμπεράνει τελικά ότι το πρόβλημα είναι η εφαρμογή αναζήτησης προστασίας που εκτελείται στο δίσκο συστήματος. Σκοτώστε τη διαδικασία και, ξαφνικά, οι νέες καρτέλες σας ανοίγουν με τον τρόπο που προορίζεται ο κατασκευαστής του προγράμματος περιήγησης.

    Αλλά πώς ακριβώς το κάνει αυτό; Δεν υπάρχουν πρόσθετα ή επεκτάσεις εγκατεστημένα σε κανένα από τα προγράμματα περιήγησης. Δεν υπάρχουν πρόσθετα. Το μητρώο είναι καθαρό. Πώς το κάνουν?

    Εδώ κατευθυνόμαστε στον Process Explorer για να κάνουμε κάποια έρευνα. Πρώτον, θα βρείτε στη λίστα τη διαδικασία αναζήτησης προστασίας, η οποία είναι αρκετά εύκολη επειδή έχει ονομαστεί σωστά, αλλά αν δεν ήσαστε σίγουρος, μπορείτε πάντα να ανοίξετε το παράθυρο και να χρησιμοποιήσετε το εικονίδιο με τα μικρά μάτια δίπλα στο κιάλια για να καταλάβουμε ποια διαδικασία ανήκει σε ένα παράθυρο.

    Τώρα μπορείτε απλά να επιλέξετε την κατάλληλη διαδικασία, η οποία στην περίπτωση αυτή ήταν μία από τις τρεις που εκτελούνται αυτόματα από την υπηρεσία των Windows που εγκαθιστά το Conduit. Πώς ξέρω ότι ήταν μια υπηρεσία των Windows που την επανεκκινεί; Επειδή το χρώμα αυτής της σειράς είναι ροζ, φυσικά. Οπλισμένοι με αυτή τη γνώση, θα μπορούσα πάντα να σταματήσω ή να διαγράψω την υπηρεσία (αν και σε αυτή τη συγκεκριμένη περίπτωση, μπορείτε απλά να απεγκαταστήσετε από το Uninstall Programs στον Πίνακα Ελέγχου).

    Τώρα που έχετε επιλέξει τη διαδικασία, μπορείτε να χρησιμοποιήσετε τα πλήκτρα συντόμευσης CTRL + H ή CTRL + D για να ανοίξετε την προβολή Λαβή ή την προβολή DLL ή μπορείτε να χρησιμοποιήσετε το μενού View -> Lower Pane View για να το κάνετε.

    Σημείωση: στον κόσμο των Windows, ένα "χειριστήριο" είναι μια ακέραια τιμή που χρησιμοποιείται για την μοναδική αναγνώριση ενός πόρου στη μνήμη, όπως ένα παράθυρο, ένα ανοιχτό αρχείο, μια διαδικασία ή πολλά άλλα πράγματα. Κάθε ανοιχτό παράθυρο εφαρμογής στον υπολογιστή σας έχει μια μοναδική "λαβή παραθύρου", για παράδειγμα, που μπορεί να χρησιμοποιηθεί για αναφορά του.

    Τα αρχεία DLL ή οι βιβλιοθήκες δυναμικών συνδέσεων είναι κοινόχρηστα κομμάτια κώδικα που έχουν αποθηκευτεί σε ξεχωριστό αρχείο για κοινή χρήση μεταξύ πολλών εφαρμογών. Για παράδειγμα, αντί να έχουν κάθε εφαρμογή να γράψει τους δικούς της διαλόγους αρχείων Open / Save, όλες οι εφαρμογές μπορούν απλά να χρησιμοποιήσουν τον κοινό κωδικό διαλόγου που παρέχεται από τα Windows στο αρχείο comdlg32.dll.

    Κοιτάζοντας τον κατάλογο των λαβών για μερικά λεπτά μας έφερε λίγο πιο κοντά σε αυτό που συνέβαινε, γιατί βρήκαμε χειρολαβές στον Internet Explorer και στο Chrome, και οι δύο είναι επί του παρόντος ανοιχτές στο σύστημα δοκιμών. Έχουμε επιβεβαιώσει σίγουρα ότι το Search Protect κάνει κάτι στα ανοιχτά παράθυρα του προγράμματος περιήγησης, αλλά θα χρειαστεί να κάνουμε λίγο περισσότερη έρευνα για να καταλάβουμε τι ακριβώς.

    Το επόμενο πράγμα που πρέπει να κάνετε είναι να κάνετε διπλό κλικ στη διαδικασία της λίστας για να ανοίξετε την προβολή λεπτομερειών και στη συνέχεια να μεταβείτε στην καρτέλα Εικόνα, η οποία θα σας δώσει πληροφορίες σχετικά με την πλήρη διαδρομή προς το εκτελέσιμο αρχείο, τη γραμμή εντολών και ακόμη και την φάκελο εργασίας. Θα κάνουμε κλικ στο κουμπί Εξερεύνηση για να δείτε το φάκελο εγκατάστασης και να δείτε τι άλλο κρύβεται εκεί.

    Ενδιαφέρων! Βρήκαμε εδώ μερικά αρχεία DLL, αλλά για κάποιους περίεργους λόγους κανένα από αυτά τα αρχεία DLL δεν παρατέθηκαν στην προβολή DLL για τη διαδικασία αναζήτησης Προστασία όταν το είδαμε νωρίτερα. Αυτό θα μπορούσε να είναι ένα πρόβλημα.

    Επόμενη σελίδα: Αντιμετώπιση κλειδωμένων αρχείων και φακέλων