Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi

Capire come funzionano le finestre di dialogo e le opzioni di Process Explorer è tutto a posto, ma che ne dici di usarlo per risolvere problemi reali o diagnosticare un problema? La lezione della Geek School di oggi ti aiuterà a imparare come fare proprio questo.

NAVIGAZIONE SCOLASTICA

1. Quali sono gli strumenti di SysInternals e come li usi?
2. Capire Process Explorer
3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
4. Comprensione del monitor di processo
5. Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
6. Utilizzare Autoruns per gestire i processi di avvio e il malware
7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
8. Usare PsTools per controllare altri PC dalla riga di comando
9. Analisi e gestione di file, cartelle e unità
10. Avvolgimento e utilizzo degli strumenti insieme

Non molto tempo fa, abbiamo iniziato a indagare su tutti i tipi di malware e crapware che vengono installati automaticamente ogni volta che non presti attenzione durante l'installazione del software. Quasi ogni pezzo di freeware sul mercato, compresi quelli "affidabili", raggruppa barre degli strumenti, dirottamento di ricerca o adware e alcuni di essi sono difficili da risolvere.

Abbiamo visto molti computer da persone che sappiamo di avere così tanti spyware e adware installati che il PC carica a malapena. Cercare di caricare il browser Web, in particolare, è quasi impossibile, poiché tutto il software di adware e di tracciamento è in competizione con le risorse per rubare le tue informazioni private e venderle al miglior offerente.

Quindi, naturalmente, volevamo fare un po 'di ricerche su come alcuni di questi funzionano, e non c'è posto migliore per iniziare rispetto al malware di Conduit Search che ha causato centinaia di milioni di computer in tutto il mondo. Questa nefande orrenda dirotta il tuo motore di ricerca nel tuo browser, cambia la tua home page e, cosa più fastidiosa, riprende la tua pagina Nuova scheda indipendentemente dal browser impostato.

Inizieremo guardando questo, e poi ti mostreremo come usare Process Explorer per risolvere gli errori che parlano di file e cartelle bloccati che sono in uso.

E poi completeremo il tutto con un altro sguardo su come alcuni adware in questi giorni si nascondono dietro i processi di Microsoft in modo che appaiano in Process Explorer o Task Manager, anche se in realtà non lo sono.

Indagare il malware di ricerca di conduit

Come abbiamo detto, il dirottatore di ricerca di Conduit è una delle cose più persistenti, terribili e terribili che quasi tutti i tuoi parenti hanno sul loro computer. Essi raggruppano i loro software in modo losco con qualsiasi software gratuito, e in molti casi, anche se si sceglie di disattivare, il dirottatore verrà comunque installato.

Conduit installa ciò che chiamano "Search Protect", che affermano che impedisce al malware di apportare modifiche al browser. Ciò che non menzionano è che impedisce anche di apportare modifiche al proprio browser a meno che non si utilizzi il pannello Search Protection per apportare tali modifiche, che la maggior parte delle persone non conoscerà poiché è sepolto nella barra delle applicazioni.

Conduit non solo reindirizzerà tutte le tue ricerche sulla propria pagina Bing personalizzata, ma imposterà quella come pagina iniziale. Si dovrebbe supporre che Microsoft li sta pagando per tutto questo traffico a Bing, dal momento che ne stanno passando anche alcuni ?pc = condotto tipo di argomenti nella stringa di query.

Fatto divertente: la società dietro questo pezzo di spazzatura vale 1,5 miliardi di dollari e JP Morgan ha investito 100 milioni di dollari in questi. Essere cattivi è redditizio.

Conduit dirotta la pagina Nuova scheda ... Ma come?

Dirottare la tua ricerca e la tua home page è banale per qualsiasi malware: qui Conduit incrementa il male e in qualche modo riscrive la pagina Nuova scheda per costringerlo a mostrare Conduit, anche se cambi ogni singola impostazione.

Puoi disinstallare tutti i tuoi browser o persino installare un browser che non avevi installato prima, come Firefox o Chrome, e Conduit riuscirà comunque a dirottare la pagina Nuova scheda.

Qualcuno dovrebbe essere in prigione, ma probabilmente sono su uno yacht.

Non ci vuole molto in termini di abilità geek per dedurre infine che il problema è l'applicazione Search Protect in esecuzione nella barra delle applicazioni. Uccidi quel processo e improvvisamente le tue nuove schede si aprono proprio come voleva il produttore di browser.

Ma come, esattamente, lo fa? Non ci sono componenti aggiuntivi o estensioni installate in nessuno dei browser. Non ci sono plugin. Il registro è pulito. Come lo fanno?

Qui è dove ci rivolgiamo a Process Explorer per fare alcune indagini. In primo luogo, troveremo il processo di Search Protection nella lista, che è abbastanza facile perché è chiamato correttamente, ma se non eri sicuro, puoi sempre aprire la finestra e usare l'icona a forma di occhio di bue accanto al binocolo per capire quale processo appartiene a una finestra.

Ora puoi semplicemente selezionare il processo appropriato, che in questo caso era uno dei tre che vengono eseguiti automaticamente dal servizio Windows installato da Conduit. Come facevo a sapere che era un servizio di Windows che lo riavvia? Perché il colore di quella fila è rosa, ovviamente. Armato di tale conoscenza, potrei sempre andare a interrompere o eliminare il servizio (anche se in questo caso particolare, è possibile semplicemente disinstallare da Disinstalla programmi nel Pannello di controllo).

Ora che hai selezionato il processo, puoi usare i tasti di scelta rapida CTRL + H o CTRL + D per aprire la vista Gestisci o la vista DLL, oppure puoi usare il menu Visualizza -> Vista riquadro inferiore per farlo.

Nota: nel mondo di Windows, un "handle" è un valore intero che viene utilizzato per identificare in modo univoco una risorsa in memoria come una finestra, un file aperto, un processo o molte altre cose. Ogni finestra di applicazione aperta sul computer ha un "handle di finestra" univoco, ad esempio, che può essere utilizzato per fare riferimento a esso.

Le DLL o le librerie a collegamento dinamico sono parti condivise del codice compilato che vengono archiviate in un file separato da condividere tra più applicazioni. Ad esempio, invece di fare in modo che ogni applicazione scriva le proprie finestre di dialogo Apri / Salva, tutte le applicazioni possono semplicemente utilizzare il codice di dialogo comune fornito da Windows nel file comdlg32.dll.

Guardando l'elenco delle maniglie per alcuni minuti ci siamo avvicinati un po 'a quello che stava succedendo, perché abbiamo trovato gli handle di Internet Explorer e Chrome, entrambi attualmente aperti sul sistema di test. Abbiamo sicuramente confermato che Search Protect sta facendo qualcosa per le nostre finestre aperte del browser, ma avremo bisogno di fare un po 'più di ricerche per capire esattamente cosa.

La prossima cosa da fare è fare doppio clic sul processo nell'elenco per aprire la vista dei dettagli, quindi scorrere la scheda Immagine, che ti darà informazioni sul percorso completo dell'eseguibile, sulla riga di comando e persino sul cartella di lavoro. Faremo clic sul pulsante Esplora per dare un'occhiata alla cartella di installazione e vedere cos'altro si nasconde lì.

Interessante! Abbiamo trovato un certo numero di file DLL qui, ma per qualche strana ragione nessuno di questi file DLL è stato elencato nella vista DLL per il processo di ricerca di protezione quando stavamo guardando in precedenza. Questo potrebbe essere un problema.

Pagina successiva: Gestione di file e cartelle bloccati