Bruk Prosess Explorer til Feilsøking og Diagnose

Innholdsfortegnelse:

Bruk Prosess Explorer til Feilsøking og Diagnose
Bruk Prosess Explorer til Feilsøking og Diagnose

Video: Bruk Prosess Explorer til Feilsøking og Diagnose

Video: Bruk Prosess Explorer til Feilsøking og Diagnose
Video: SUIZA: ¿el mejor país para vivir del mundo? | Así se vive, suizos, salarios, lugares - YouTube 2024, Mars
Anonim
Forstå hvordan Process Explorer-dialoger og -alternativer fungerer, er alt bra og bra, men hva med å bruke det til noen faktisk feilsøking eller for å diagnostisere et problem? Dagens Geek School-leksjon vil forsøke å hjelpe deg med å lære hvordan du gjør nettopp det.
Forstå hvordan Process Explorer-dialoger og -alternativer fungerer, er alt bra og bra, men hva med å bruke det til noen faktisk feilsøking eller for å diagnostisere et problem? Dagens Geek School-leksjon vil forsøke å hjelpe deg med å lære hvordan du gjør nettopp det.

SCHOOL NAVIGASJON

  1. Hva er SysInternals Tools og hvordan bruker du dem?
  2. Forstå Process Explorer
  3. Bruk Prosess Explorer til Feilsøking og Diagnose
  4. Forstå prosessovervåking
  5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
  6. Bruke Autoruns å håndtere oppstartsprosesser og malware
  7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
  8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
  9. Analysere og administrere filer, mapper og stasjoner
  10. Pakke opp og bruke verktøyene sammen

Ikke så lenge siden begynte vi å undersøke alle typer malware og crapware som blir installert automatisk når du ikke tar hensyn når du installerer programvare. Nesten alle deler av freeware på markedet, inkludert de "anerkjente" de, er bundle verktøylinjer, søk kapring forferdelig eller adware, og noe av det er vanskelig å feilsøke.

Vi har sett mange datamaskiner fra folk som vi vet at har så mye spyware og adware installert at PCen nesten ikke laster lenger. Forsøk å laste nettleseren, spesielt, er nesten umulig, da alle adware og sporingsprogrammet konkurrerer om ressurser for å stjele din private informasjon og selge den til høyeste budgiver.

Så naturlig, vi ønsket å gjøre litt undersøkelser på hvordan noen av disse fungerer, og det er ikke noe bedre sted å starte enn Malware for Conduit Search som har hevdet hundrevis av millioner datamaskiner over hele verden. Denne falske forferdelsen kapsler søkemotoren din i nettleseren din, endrer hjemmesiden din og mest irriterende, det tar over din nye fane siden, uansett hva nettleseren din er satt til.

Vi starter med å se på det, og så viser vi deg hvordan du bruker Process Explorer til å feilsøke feil som snakker om låste filer og mapper som er i bruk.

Og så vil vi avrunde det med en annen titt på hvordan noen adware i disse dager gjemmer seg bak Microsoft-prosesser, slik at de virker legitime i Process Explorer eller Task Manager, selv om de egentlig ikke er.

Undersøkelse av kanalprogrammet for skadelig søking

Som vi nevnte, er Conduit-søkekapperen en av de mest vedvarende, forferdelige og forferdelige tingene som nesten alle en av slektningene dine sannsynligvis har på sin datamaskin. De pakker programvaren på skyggefulle måter med hvilket som helst freeware de kan, og i mange tilfeller, selv om du velger å deaktivere, vil kaperen fortsatt bli installert.

Conduit installerer det de kaller "Search Protect", som de hevder forhindrer skadelig programvare fra å gjøre endringer i nettleseren din. Det de ikke nevner er at det også forhindrer deg i å gjøre endringer i nettleseren din, med mindre du bruker deres søkebeskyttingspanel for å gjøre de endringene som de fleste ikke vet om siden det er begravet i systemstatusfeltet.

Ikke bare vil Conduit omdirigere alle søkene dine til sin egen egendefinerte Bing-side, det vil sette det som din startside. Man må anta at Microsoft betaler dem for all denne trafikken til Bing, siden de også passerer noen ? Pc = kanal type argumenter i spørringsstrengen.

Morsomt faktum: Selskapet bak dette søppelet er verdt 1,5 milliarder dollar og JP Morgan investerte 100 millioner dollar i dem. Å være ondt er lønnsomt.

Rør kapsler den nye fane siden … Men hvordan?

Hacking av søket og hjemmesiden er trivielt for skadelig programvare - dette er hvor Conduit går opp på det onde og på en eller annen måte omskriver Ny Tab-siden for å tvinge den til å vise Kondukt, selv om du endrer hver enkelt innstilling.

Du kan avinstallere alle nettleserne dine, eller til og med installere en nettleser du ikke hadde installert før, for eksempel Firefox eller Chrome, og Conduit klarer fortsatt å kapre siden New Tab.

Det tar ikke mye med hensyn til geek ferdigheter til slutt utlede at problemet er Search Protect-programmet som kjører i systemstatusfeltet. Drep den prosessen, og plutselig åpner de nye kategoriene akkurat som nettleseren har tenkt.
Det tar ikke mye med hensyn til geek ferdigheter til slutt utlede at problemet er Search Protect-programmet som kjører i systemstatusfeltet. Drep den prosessen, og plutselig åpner de nye kategoriene akkurat som nettleseren har tenkt.
Men hvordan, akkurat, gjør det dette? Det er ingen tillegg eller utvidelser installert i noen av nettleserne. Det er ikke noen plugins. Registeret er rent. Hvordan gjør de det?
Men hvordan, akkurat, gjør det dette? Det er ingen tillegg eller utvidelser installert i noen av nettleserne. Det er ikke noen plugins. Registeret er rent. Hvordan gjør de det?

Dette er der vi vender oss til Prosess Explorer for å gjøre noen undersøkelser. Først finner vi Search Protect-prosessen i listen, som er lett nok fordi den er riktig oppkalt, men hvis du ikke var sikker, kan du alltid åpne vinduet og bruke det lille oksen-ikonet ved siden av kikkert for å finne ut hvilken prosess tilhører et vindu.

Nå kan du bare velge riktig prosess, som i dette tilfellet var en av de tre som kjører automatisk av Windows-tjenesten som Conduit installerer. Hvordan visste jeg at det var en Windows-tjeneste som starter på nytt? Fordi fargen på den raden er rosa, selvfølgelig. Bevæpnet med den kunnskapen, kunne jeg alltid stoppe eller slette tjenesten (men i dette tilfellet kan du enkelt avinstallere fra Avinstaller programmer i Kontrollpanel).
Nå kan du bare velge riktig prosess, som i dette tilfellet var en av de tre som kjører automatisk av Windows-tjenesten som Conduit installerer. Hvordan visste jeg at det var en Windows-tjeneste som starter på nytt? Fordi fargen på den raden er rosa, selvfølgelig. Bevæpnet med den kunnskapen, kunne jeg alltid stoppe eller slette tjenesten (men i dette tilfellet kan du enkelt avinstallere fra Avinstaller programmer i Kontrollpanel).

Nå som du har valgt prosessen, kan du bruke hurtigtasterne CTRL + H eller CTRL + D til å åpne håndteringsvisningen eller DLL-visningen, eller du kan bruke Vis -> Nedre panelvisning-menyen til å gjøre det.

Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.

DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.

Å se gjennom listen over håndtak i noen minutter førte oss litt nærmere hva som skjedde, fordi vi fant håndtak til Internet Explorer og Chrome, som begge er åpne for testsystemet. Vi har definitivt bekreftet at Search Protect gjør noe for våre åpne nettleservinduer, men vi må gjøre litt mer forskning for å finne ut nøyaktig hva.

Anbefalt: