โฮมเพจ » โรงเรียน » ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย

    ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย

    การทำความเข้าใจว่าไดอะล็อกและตัวเลือกของ Process Explorer ทำงานได้ดีและดี แต่สิ่งที่เกี่ยวกับการใช้มันสำหรับการแก้ไขปัญหาจริงบางอย่างหรือเพื่อวินิจฉัยปัญหา? บทเรียน Geek School วันนี้จะพยายามและช่วยให้คุณเรียนรู้วิธีการทำเช่นนั้น.

    การนำทางของโรงเรียน
    1. เครื่องมือ SysInternals คืออะไรและคุณใช้งานอย่างไร?
    2. ทำความเข้าใจกับ Process Explorer
    3. ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย
    4. ทำความเข้าใจเกี่ยวกับการตรวจสอบกระบวนการ
    5. ใช้การตรวจสอบกระบวนการเพื่อแก้ไขปัญหาและค้นหา Hacks รีจิสทรี
    6. ใช้การทำงานอัตโนมัติเพื่อจัดการกับกระบวนการเริ่มต้นและมัลแวร์
    7. ใช้ BgInfo เพื่อแสดงข้อมูลระบบบนเดสก์ท็อป
    8. การใช้ PsTools เพื่อควบคุมพีซีเครื่องอื่นจาก Command Line
    9. การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ
    10. การรวมและใช้เครื่องมือเข้าด้วยกัน

    ไม่นานที่ผ่านมาเราเริ่มตรวจสอบมัลแวร์และ crapware ทุกประเภทที่ติดตั้งโดยอัตโนมัติเมื่อใดก็ตามที่คุณไม่สนใจในขณะติดตั้งซอฟต์แวร์ เกือบทุกชิ้นของฟรีแวร์ในตลาดรวมถึงอันที่“ มีชื่อเสียง” คือชุดเครื่องมือแถบเครื่องมือค้นหาความน่าสะพรึงกลัวหรือแอดแวร์และบางส่วนก็ยากที่จะแก้ไข.

    เราเคยเห็นคอมพิวเตอร์หลายเครื่องจากคนที่เรารู้ว่ามีสปายแวร์และแอดแวร์ติดตั้งมากมายซึ่งพีซีแทบจะโหลดไม่ไหวแล้ว พยายามโหลดเว็บเบราว์เซอร์โดยเฉพาะอย่างยิ่งเป็นไปไม่ได้เนื่องจากแอดแวร์และซอฟต์แวร์การติดตามทั้งหมดแข่งขันเพื่อให้ทรัพยากรขโมยข้อมูลส่วนตัวของคุณและขายให้กับผู้เสนอราคาสูงสุด.

    ตามธรรมชาติเราต้องการตรวจสอบว่างานเหล่านี้ทำงานอย่างไรและไม่มีที่ใดที่จะเริ่มต้นได้ดีไปกว่ามัลแวร์ Conduit Search ที่อ้างสิทธิ์คอมพิวเตอร์หลายร้อยล้านเครื่องทั่วโลก ความน่ากลัวที่ชั่วร้ายนี้ทำให้เครื่องมือค้นหาของคุณในเบราว์เซอร์เปลี่ยนหน้าแรกและที่น่ารำคาญที่สุดก็เข้ามาที่หน้าแท็บใหม่ของคุณไม่ว่าเบราว์เซอร์ของคุณจะตั้งค่าเป็นอะไร.

    เราจะเริ่มด้วยการดูจากนั้นเราจะแสดงวิธีใช้ Process Explorer เพื่อแก้ไขข้อผิดพลาดที่พูดถึงไฟล์และโฟลเดอร์ที่ถูกล็อคที่ใช้งานอยู่.

    แล้วเราจะปัดเศษมันออกมาดูอีกว่าแอดแวร์บางตัวในวันนี้ซ่อนตัวอยู่หลังกระบวนการของ Microsoft ดังนั้นจึงปรากฏว่าถูกต้องใน Process Explorer หรือ Task Manager แม้ว่าพวกเขาจะไม่จริง.

    การตรวจสอบมัลแวร์ Conduit Search

    ดังที่เรากล่าวถึงนักจี้ค้นหา Conduit เป็นหนึ่งในสิ่งที่ติดตาน่ากลัวและน่ากลัวที่สุดที่ญาติของคุณเกือบทุกคนอาจมีบนคอมพิวเตอร์ของพวกเขา พวกเขารวมซอฟต์แวร์ด้วยวิธีที่ร่มรื่นกับฟรีแวร์ที่พวกเขาสามารถทำได้และในหลาย ๆ กรณีแม้ว่าคุณจะเลือกที่จะไม่ใช้ก็ตามนักจี้จะยังคงติดตั้งอยู่.

    Conduit ติดตั้งสิ่งที่เรียกว่า "Search Protect" ซึ่งพวกเขาอ้างว่าป้องกันมัลแวร์ไม่ให้ทำการเปลี่ยนแปลงในเบราว์เซอร์ของคุณ สิ่งที่พวกเขาไม่ได้กล่าวถึงคือมันยังป้องกันไม่ให้คุณทำการเปลี่ยนแปลงใด ๆ กับเบราว์เซอร์ของพวกเขาเว้นแต่คุณจะใช้แผงการป้องกันการค้นหาเพื่อทำการเปลี่ยนแปลงเหล่านั้นซึ่งคนส่วนใหญ่ไม่ทราบเพราะฝังไว้ในถาดระบบ.

    Conduit ไม่เพียง แต่จะเปลี่ยนเส้นทางการค้นหาของคุณทั้งหมดไปยังหน้า Bing ที่กำหนดเองของพวกเขาเองเท่านั้น แต่จะกำหนดให้เป็นหน้าแรกของคุณ หนึ่งจะต้องสมมติว่า Microsoft จะจ่ายให้สำหรับการรับส่งข้อมูลทั้งหมดนี้ไปยัง Bing เนื่องจากพวกเขากำลังผ่านบางส่วน ?เครื่องคอมพิวเตอร์ = ท่อ ประเภทของข้อโต้แย้งในสตริงแบบสอบถาม.

    สนุกจริง: บริษัท ที่อยู่เบื้องหลังขยะชิ้นนี้มีมูลค่า 1.5 พันล้านดอลลาร์และ JP Morgan ลงทุน 100 ล้านดอลลาร์ในนั้น ความชั่วร้ายเป็นผลกำไร.

    Conduit Hijacks หน้าแท็บใหม่… แต่อย่างไร?

    การไฮแจ็คค้นหาและหน้าแรกของคุณนั้นไม่สำคัญสำหรับมัลแวร์ใด ๆ - นี่คือที่ Conduit ก้าวไปสู่ความชั่วร้ายและเขียนหน้าแท็บใหม่เพื่อบังคับให้แสดง Conduit แม้ว่าคุณจะเปลี่ยนทุกการตั้งค่า.

    คุณสามารถถอนการติดตั้งเบราว์เซอร์ทั้งหมดของคุณหรือแม้แต่ติดตั้งเบราว์เซอร์ที่คุณไม่เคยติดตั้งมาก่อนเช่น Firefox หรือ Chrome และ Conduit จะยังคงจัดการเพื่อจี้หน้าแท็บใหม่.

    ใครบางคนควรติดคุก แต่อาจจะอยู่บนเรือยอร์ช.

    ในแง่ของทักษะที่เกินบรรยายในที่สุดก็ไม่สามารถสรุปได้ว่าปัญหาคือแอปพลิเคชัน Search Protect ที่ทำงานอยู่ในซิสเต็มเทรย์ ฆ่ากระบวนการนั้นและแท็บใหม่ของคุณก็เปิดตามที่ผู้ผลิตเบราว์เซอร์ตั้งใจไว้.

    แต่มันทำเช่นนี้ได้อย่างไร ไม่มีส่วนเสริมหรือส่วนขยายติดตั้งในเบราว์เซอร์ใด ๆ ไม่มีปลั๊กอินใด ๆ รีจิสทรีสะอาด พวกเขาทำมันได้อย่างไร?

    นี่คือที่เราเปิดไปที่ Process Explorer เพื่อทำการตรวจสอบ อันดับแรกเราจะพบกระบวนการค้นหาการป้องกันในรายการซึ่งง่ายพอเพราะมีการตั้งชื่อไว้อย่างถูกต้อง แต่ถ้าคุณไม่แน่ใจคุณสามารถเปิดหน้าต่างและใช้ไอคอนบูลส์อายเล็กน้อยถัดจาก กล้องส่องทางไกลเพื่อค้นหาว่ากระบวนการใดเป็นของหน้าต่าง.

    ตอนนี้คุณสามารถเลือกกระบวนการที่เหมาะสมซึ่งในกรณีนี้เป็นหนึ่งในสามที่ทำงานโดยอัตโนมัติโดยบริการ Windows ที่ Conduit ติดตั้ง ฉันจะรู้ได้อย่างไรว่าเป็นบริการ Windows ที่เริ่มการทำงานใหม่ เพราะสีของแถวนั้นเป็นสีชมพูแน่นอน ด้วยความรู้นั้นฉันสามารถหยุดหรือลบบริการได้เสมอ (แม้ว่าในกรณีนี้คุณสามารถถอนการติดตั้งจากโปรแกรมถอนการติดตั้งในแผงควบคุม).

    ตอนนี้คุณได้เลือกกระบวนการคุณสามารถใช้ปุ่มลัด CTRL + H หรือ CTRL + D เพื่อเปิดมุมมอง Handle หรือมุมมอง DLLs หรือคุณสามารถใช้เมนู View -> Lower Pane View เพื่อทำมัน.

    บันทึก: ในโลกของ Windows“ หมายเลขอ้างอิง” คือค่าจำนวนเต็มที่ใช้เพื่อระบุทรัพยากรในหน่วยความจำเช่นหน้าต่างไฟล์เปิดกระบวนการหรือสิ่งอื่น ๆ แต่ละหน้าต่างแอปพลิเคชันที่เปิดอยู่บนคอมพิวเตอร์ของคุณมี "หมายเลขอ้างอิงหน้าต่าง" ที่ไม่เหมือนใครซึ่งสามารถใช้เพื่ออ้างอิงได้.

    DLLs หรือไลบรารีการเชื่อมโยงแบบไดนามิกเป็นชิ้นส่วนของรหัสที่รวบรวมซึ่งถูกเก็บไว้ในไฟล์แยกต่างหากที่จะใช้ร่วมกันในหลาย ๆ แอปพลิเคชัน ตัวอย่างเช่นแทนที่จะให้ทุกแอปพลิเคชันเขียนกล่องโต้ตอบเปิด / บันทึกไฟล์ของตัวเองแอปพลิเคชันทั้งหมดสามารถใช้รหัสโต้ตอบทั่วไปที่ Windows จัดเตรียมไว้ในไฟล์ comdlg32.dll.

    การดูรายการของการจัดการไม่กี่นาทีทำให้เราใกล้ชิดกับสิ่งที่เกิดขึ้นมากขึ้นเพราะเราพบที่จับใน Internet Explorer และ Chrome ซึ่งทั้งสองอย่างนี้เปิดในระบบทดสอบ เราได้ยืนยันอย่างแน่นอนแล้วว่า Search Protect กำลังทำอะไรบางอย่างกับหน้าต่างเบราว์เซอร์ที่เปิดอยู่ของเรา แต่เราจะต้องทำการวิจัยเพิ่มเติมอีกเล็กน้อยเพื่อค้นหาว่า.

    สิ่งต่อไปที่ต้องทำคือดับเบิลคลิกที่กระบวนการในรายการเพื่อเปิดมุมมองรายละเอียดจากนั้นพลิกไปที่แท็บรูปภาพซึ่งจะให้ข้อมูลเกี่ยวกับเส้นทางแบบเต็มไปยังปฏิบัติการบรรทัดคำสั่งและแม้แต่ โฟลเดอร์ทำงาน เราจะคลิกปุ่มสำรวจเพื่อดูที่โฟลเดอร์การติดตั้งและดูว่ามีอะไรซ่อนอยู่.

    ที่น่าสนใจ! เราพบไฟล์ DLL จำนวนหนึ่งที่นี่ แต่ด้วยเหตุผลแปลก ๆ บางอย่างไฟล์ DLL เหล่านี้ไม่ได้ถูกระบุไว้ในมุมมอง DLL สำหรับกระบวนการค้นหาการป้องกันเมื่อเราดูก่อนหน้านี้ นี่อาจเป็นปัญหา.

    หน้าถัดไป: การจัดการกับไฟล์และโฟลเดอร์ที่ล็อค