Hjemmeside » skole » Bruk Prosess Explorer til Feilsøking og diagnostisering

    Bruk Prosess Explorer til Feilsøking og diagnostisering

    Forstå hvordan Process Explorer-dialoger og -alternativer fungerer, er alt bra og bra, men hva med å bruke det for noen faktisk feilsøking eller for å diagnostisere et problem? Dagens Geek School leksjon vil prøve og hjelpe deg å lære hvordan du gjør nettopp det.

    SCHOOL NAVIGASJON
    1. Hva er SysInternals Tools og hvordan bruker du dem?
    2. Forstå Process Explorer
    3. Bruk Prosess Explorer til Feilsøking og diagnostisering
    4. Forstå prosessovervåking
    5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
    6. Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware
    7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
    8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
    9. Analysere og administrere filer, mapper og stasjoner
    10. Pakke opp og bruke verktøyene sammen

    Ikke så lenge siden begynte vi å undersøke alle typer malware og crapware som automatisk installeres når du ikke tar hensyn når du installerer programvare. Nesten alle deler av freeware på markedet, inkludert de "anerkjente", er bundle verktøylinjer, søke kapring forferdelighet eller adware, og noe av det er vanskelig å feilsøke.

    Vi har sett mange datamaskiner fra folk som vi vet at har så mye spyware og adware installert at PCen nesten ikke laster lenger. Forsøk å laste nettleseren, spesielt, er nesten umulig, da alle adware og sporingsprogrammet konkurrerer om ressurser for å stjele din private informasjon og selge den til høyeste budgiveren.

    Så naturlig, vi ønsket å gjøre litt undersøkelser på hvordan noen av disse fungerer, og det er ikke noe bedre sted å starte enn malware for Conduit Search som har hevdet hundrevis av millioner datamaskiner over hele verden. Denne falske forferdelsen kapsler søkemotoren din i nettleseren din, endrer hjemmesiden din og mest irriterende, det tar over din nye fane siden, uansett hva nettleseren din er satt til.

    Vi starter med å se på det, og så viser vi deg hvordan du bruker Process Explorer til å feilsøke feil som snakker om låste filer og mapper som er i bruk.

    Og så vil vi avrunde det med et annet blikk på hvordan noen adware i disse dager gjemmer seg bak Microsoft-prosesser, slik at de virker legitime i Process Explorer eller Task Manager, selv om de egentlig ikke er.

    Undersøkelse av kanalprogrammet for skadelig søking

    Som vi nevnte, er Conduit-søkekaperen en av de mest vedvarende, forferdelige og forferdelige tingene som nesten alle en av slektningene dine sannsynligvis har på datamaskinen. De pakker programvaren på skyggefulle måter med hvilket som helst freeware de kan, og i mange tilfeller, selv om du velger å deaktivere, vil kaperen fortsatt bli installert.

    Conduit installerer det de kaller "Search Protect", som de hevder forhindrer skadelig programvare fra å gjøre endringer i nettleseren din. Det de ikke nevner er at det også forhindrer deg i å gjøre endringer i nettleseren din, med mindre du bruker deres søkebeskyttingspanel for å gjøre de endringene som de fleste ikke vil vite om siden det er begravet i systemstatusfeltet.

    Ikke bare vil Conduit omdirigere alle søkene dine til sin egen egendefinerte Bing-side, det vil angi det som hjemmesiden din. Man må anta at Microsoft betaler dem for all denne trafikken til Bing, siden de også passerer noen ?pc = ledningen type argumenter i spørringsstrengen.

    Morsomt faktum: Selskapet bak dette søppelet er verdt 1,5 milliarder dollar, og JP Morgan investerte $ 100 millioner i dem. Å være ondt er lønnsomt.

    Rør kapsler den nye fane siden ... Men hvordan?

    Hacking av søket og hjemmesiden er trivielt for skadelig programvare - dette er hvor Conduit går opp på det onde og på en eller annen måte omskriver Ny Tab-siden for å tvinge den til å vise Rør, selv om du endrer hver enkelt innstilling.

    Du kan avinstallere alle nettleserne dine, eller til og med installere en nettleser du ikke hadde installert før, for eksempel Firefox eller Chrome, og Conduit klarer fortsatt å kapre siden New Tab.

    Noen burde være i fengsel, men de er sannsynligvis på en yacht.

    Det tar ikke mye med hensyn til geek ferdigheter til slutt utlede at problemet er Search Protect-programmet som kjører i systemstatusfeltet. Drep den prosessen, og plutselig åpner de nye kategoriene akkurat som nettleseren har tenkt.

    Men hvordan, akkurat, gjør det dette? Det er ingen tillegg eller utvidelser installert i noen av nettleserne. Det er ingen plugins. Registeret er rent. Hvordan gjør de det?

    Dette er hvor vi vender oss til Prosess Explorer for å gjøre noen undersøkelser. Først finner vi Search Protect-prosessen i listen, som er lett nok fordi den er riktig oppkalt, men hvis du ikke var sikker, kan du alltid åpne vinduet og bruke det lille oksen-ikonet ved siden av kikkert for å finne ut hvilken prosess tilhører et vindu.

    Nå kan du bare velge riktig prosess, som i dette tilfellet var en av de tre som kjører automatisk av Windows-tjenesten som Conduit installerer. Hvordan visste jeg at det var en Windows-tjeneste som starter på nytt? Fordi fargen på den raden er rosa, selvfølgelig. Bevæpnet med den kunnskapen, kunne jeg alltid stoppe eller slette tjenesten (men i dette tilfellet kan du enkelt avinstallere fra Avinstaller Programmer i Kontrollpanel).

    Nå som du har valgt prosessen, kan du bruke hurtigtasterne CTRL + H eller CTRL + D til å åpne håndteringsvisningen eller DLL-visningen, eller du kan bruke menyen Vis -> Nedre panelvisning for å gjøre det.

    Merk: I Windows-verden er et "håndtak" et heltall som brukes til å identifisere en ressurs i minnet som et vindu, en åpen fil, en prosess eller mange andre ting. Hvert åpent programvindu på datamaskinen har et unikt "vinduhåndtak", som for eksempel kan brukes til å referere til det.

    DLLer, eller dynamiske lenkebiblioteker, er delte deler av kompilert kode som er lagret i en egen fil som skal deles mellom flere applikasjoner. For eksempel, i stedet for at alle applikasjoner skal skrive egne File Open / Save-dialoger, kan alle applikasjoner ganske enkelt bruke den felles dialogkoden som leveres av Windows i comdlg32.dll-filen.

    Å se gjennom listen over håndtak i noen minutter førte oss litt nærmere hva som skjedde, fordi vi fant håndtak til Internet Explorer og Chrome, som begge er åpne for testsystemet. Vi har definitivt bekreftet at Search Protect gjør noe for våre åpne nettleservinduer, men vi må gjøre litt mer forskning for å finne ut nøyaktig hva.

    Den neste tingen å gjøre er å dobbeltklikke på prosessen i listen for å åpne detaljvisningen, og deretter bla til kategorien Bilde, som gir deg informasjon om hele banen til kjørbar, kommandolinjen og til og med arbeidsmappe. Vi klikker på Utforsk knappen for å se på installasjonsmappen og se hva som skjuler der.

    Interessant! Vi har funnet en rekke DLL-filer her, men for noen underlige grunner ble ingen av disse DLL-filene oppført i DLL-visningen for Search Protect-prosessen når vi så på det tidligere. Dette kan være et problem.

    Neste side: Håndtere låste filer og mapper