Hemsida » skola » Använda Process Explorer för att felsöka och diagnostisera

    Använda Process Explorer för att felsöka och diagnostisera

    Förstå hur Process Explorer dialogrutor och alternativ fungerar är allt bra och bra, men hur är det med att använda den för några faktiska felsökning eller för att diagnostisera ett problem? Dagens Geek School-lektion kommer att försöka hjälpa dig att lära dig hur du gör just det.

    SCHOOL NAVIGATION
    1. Vad är SysInternals Tools och hur använder du dem?
    2. Förstå Process Explorer
    3. Använda Process Explorer för att felsöka och diagnostisera
    4. Förstå Process Monitor
    5. Använda Process Monitor för att felsöka och hitta registerhackar
    6. Använda Autoruns att hantera startprocesser och skadlig kod
    7. Använda BgInfo för att visa systeminformation på skrivbordet
    8. Använda PsTools för att styra andra datorer från kommandoraden
    9. Analysera och hantera dina filer, mappar och enheter
    10. Förpackning och användning av verktygen tillsammans

    Inte så länge sedan började vi undersöka alla typer av skadlig kod och crapware som installeras automatiskt när du inte uppmärksammar när du installerar programvara. Nästan varje bit av freeware på marknaden, inklusive de "välrenommerade", är buntande verktygsfält, sök kapning awfulness eller adware, och en del av det är svårt att felsöka.

    Vi har sett många datorer från människor som vi vet att så mycket spionprogram och adware har installerats så att datorn knappast laddar längre. Att försöka ladda webbläsaren är i synnerhet omöjlig eftersom alla adware- och spårningsspåren konkurrerar om resurser för att stjäla din privata information och sälja den till högsta budgivaren.

    Så naturligtvis ville vi göra lite undersökning om hur några av dessa fungerar, och det finns inget bättre ställe att starta än malware för Conduit Search som har krävt hundratals miljoner datorer över hela världen. Den här skrämmande förskräckelsen kapar din sökmotor i din webbläsare, ändrar din hemsida och störst, det tar över din nya fliksida oavsett vad din webbläsare är inställd på.

    Vi börjar med att titta på det och sedan visar vi hur du använder Process Explorer för att felsöka fel som pratar om låsta filer och mappar som används.

    Och så ska vi runda det med en annan titt på hur vissa adware ibland döljer sig bakom Microsoft-processer så att de verkar legit i Process Explorer eller Task Manager, även om de verkligen inte är.

    Undersökning av Malware för sökning av skadliga kanaler

    Som vi nämnde är Conduit Search-kaparen en av de mest ihållande, fruktansvärda och fruktansvärda saker som nästan alla dina släktingar förmodligen har på sin dator. De buntar programvaran på skuggiga sätt med alla freeware som de kan, och i många fall, även om du väljer att välja bort, kommer kaparen fortfarande att installeras.

    Conduit installerar vad de kallar "Sökskydd", som de hävdar förhindrar att skadlig programvara gör ändringar i din webbläsare. Vad de inte nämner är att det också förhindrar dig från att göra några ändringar i webbläsaren, om du inte använder deras Sökskydd-panel för att göra de ändringar som de flesta inte vet om eftersom den är begravd i systemfältet.

    Inte bara kommer Conduit att omdirigera alla dina sökningar till sin egen anpassade Bing-sida, det kommer att ställa in det som din hemsida. Man skulle behöva anta att Microsoft betalar dem för all denna trafik till Bing, eftersom de också passerar några ?pc = ledning typ av argument i frågesträngen.

    Roligt faktum: Företaget bakom denna skräp är värd 1,5 miljarder dollar och JP Morgan investerade 100 miljoner dollar i dem. Att vara ont är lönsamt.

    Kabeldragnar den nya fliksidan ... Men hur?

    Hackning av din sökning och hemsida är trivial för eventuella skadliga program. Det här är där Conduit steg upp det onda och på något sätt skriver om den nya fliken sida för att tvinga den att visa Conduit, även om du ändrar varje inställning.

    Du kan avinstallera alla dina webbläsare, eller till och med installera en webbläsare som du inte hade installerat tidigare, till exempel Firefox eller Chrome, och Conduit lyckas fortfarande kapra sidan Ny flik.

    Någon borde vara i fängelse, men de är nog på en yacht.

    Det tar inte mycket när det gäller geekkompetens för att så småningom dra slutsatsen att problemet är Search Protect-programmet som körs i systemfältet. Döda den processen, och plötsligt öppnar dina nya flikar precis som webbläsaren skapade.

    Men hur gör exakt det? Det finns inga tillägg eller tillägg installerade i någon av webbläsarna. Det finns inga plugins. Registret är rent. Hur gör dom det?

    Det är här vi vänder oss till Process Explorer för att göra lite undersökning. Först hittar vi Search Protect-processen i listan, vilket är lätt nog eftersom det heter korrekt, men om du inte är säker kan du alltid öppna fönstret och använda den lilla bulls-eye-ikonen bredvid kikare för att ta reda på vilken process som hör till ett fönster.

    Nu kan du helt enkelt välja lämplig process, som i det här fallet var en av de tre som körs automatiskt av den Windows-tjänst som Conduit installerar. Hur visste jag att det var en Windows-tjänst som startar om det? Eftersom färgen på den raden är rosa, förstås. Beväpnad med den kunskapen kunde jag alltid sluta eller radera tjänsten (men i det här fallet kan du helt enkelt avinstallera från Avinstallera program i Kontrollpanelen).

    Nu när du har valt processen kan du använda kortkommandon CTRL + H eller CTRL + D för att öppna Handles-vyn eller DLL-vyn, eller du kan använda menyn Visa -> Nedre paneldisplay för att göra det.

    Notera: I Windows-världen är ett "handtag" ett heltal värde som används för att unikt identifiera en resurs i minnet som ett fönster, en öppen fil, en process eller många andra saker. Varje öppet applikationsfönster på din dator har ett unikt "fönsterhandtag", som till exempel kan användas för att referera till det.

    DLL-filer, eller dynamiska länkbibliotek, är delade bitar av sammanställd kod som lagras i en separat fil som ska delas mellan flera applikationer. Till exempel, istället för att varje applikation skriver egna dialogrutor för dialogrutan Öppna / Spara, kan alla applikationer helt enkelt använda den gemensamma dialogkoden som tillhandahålls av Windows i comdlg32.dll-filen.

    Titta igenom listan över handtag i några minuter förde oss lite närmare det som hände, eftersom vi hittade handtag till Internet Explorer och Chrome, vilka båda är öppna för testsystemet. Vi har definitivt bekräftat att Search Protect gör något för våra öppna webbläsarfönster, men vi måste göra lite mer forskning för att ta reda på exakt vad.

    Nästa sak att göra är att dubbelklicka på processen i listan för att öppna detaljvy och välj sedan fliken Bild, som ger dig information om hela sökvägen till körbar, kommandoraden och till och med arbetsmapp. Vi klickar på knappen Utforska för att titta på installationsmappen och se vad som gömmer sig där.

    Intressant! Vi har hittat ett antal DLL-filer här, men för någon underlig anledning var ingen av dessa DLL-filer listade i DLL-vyn för Search Protect-processen när vi tittade på den tidigare. Detta kan vara ett problem.

    Nästa sida: Hantering av låsta filer och mappar

    Använda programkompatibilitetsläge i Windows 7
    Använda PsTools för att styra andra datorer från kommandoraden
    Använda Pandora i Boxee
    Nästa artikel
    Använda Process Monitor för att felsöka och hitta registerhackar
    Föregående artikel
    Använda lösenordsfraser för bättre säkerhet