Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
Hiểu cách các hộp thoại và tùy chọn của Trình khám phá quy trình hoạt động tốt và tốt, nhưng còn việc sử dụng nó cho một số khắc phục sự cố thực tế hoặc để chẩn đoán sự cố thì sao? Bài học hôm nay của Trường Geek sẽ cố gắng và giúp bạn học cách làm điều đó.
CHUYỂN ĐỔI TRƯỜNG- Công cụ SysIternals là gì và bạn sử dụng chúng như thế nào?
- Hiểu quy trình Explorer
- Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
- Hiểu quy trình giám sát
- Sử dụng Trình giám sát quy trình để khắc phục sự cố và Tìm Hacks Registry
- Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại
- Sử dụng BgInfo để hiển thị thông tin hệ thống trên máy tính để bàn
- Sử dụng PsTools để điều khiển các PC khác từ Dòng lệnh
- Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn
- Kết hợp và sử dụng các công cụ với nhau
Cách đây không lâu, chúng tôi đã bắt đầu điều tra tất cả các loại phần mềm độc hại và crapware được cài đặt tự động bất cứ khi nào bạn không chú ý trong khi cài đặt phần mềm. Gần như mọi phần mềm miễn phí trên thị trường, bao gồm cả những phần mềm có uy tín của Wap, đang đóng gói các thanh công cụ, tìm kiếm sự tấn công khủng khiếp hoặc phần mềm quảng cáo và một số phần mềm rất khó khắc phục sự cố.
Chúng tôi đã thấy nhiều máy tính từ những người mà chúng tôi biết rằng có rất nhiều phần mềm gián điệp và phần mềm quảng cáo được cài đặt mà PC thậm chí không tải nữa. Cố gắng tải trình duyệt web, đặc biệt, gần như là không thể, vì tất cả các phần mềm quảng cáo và phần mềm theo dõi cạnh tranh các tài nguyên để đánh cắp thông tin cá nhân của bạn và bán cho người trả giá cao nhất.
Vì vậy, một cách tự nhiên, chúng tôi muốn thực hiện một chút điều tra về cách thức hoạt động của một số trong số này và không có nơi nào tốt hơn để bắt đầu so với phần mềm độc hại Tìm kiếm Conduit đã chiếm đoạt hàng trăm triệu máy tính trên toàn thế giới. Sự khủng khiếp bất chính này chiếm quyền điều khiển công cụ tìm kiếm của bạn trong trình duyệt của bạn, thay đổi trang chủ của bạn và điều khó chịu nhất là nó chiếm lấy trang Tab mới của bạn cho dù trình duyệt của bạn được đặt là gì.
Chúng ta sẽ bắt đầu với việc xem xét điều đó và sau đó chúng tôi sẽ chỉ cho bạn cách sử dụng Process Explorer để khắc phục các lỗi nói về các tệp và thư mục bị khóa đang sử dụng.
Và sau đó chúng ta sẽ làm tròn nó với một cái nhìn khác về cách một số phần mềm quảng cáo ngày nay đang ẩn mình sau các quy trình của Microsoft để chúng xuất hiện hợp pháp trong Process Explorer hoặc Trình quản lý tác vụ, mặc dù chúng thực sự không.
Điều tra các phần mềm độc hại tìm kiếm Conduit
Như chúng tôi đã đề cập, kẻ tấn công tìm kiếm Conduit là một trong những điều dai dẳng, khủng khiếp và khủng khiếp nhất mà gần như mọi người thân của bạn có thể có trên máy tính của họ. Họ bó phần mềm của họ theo cách mờ ám với bất kỳ phần mềm miễn phí nào họ có thể, và trong nhiều trường hợp, ngay cả khi bạn chọn từ chối, kẻ tấn công vẫn sẽ được cài đặt.
Conduit cài đặt những gì họ gọi là Tìm kiếm của Google Bảo vệ, mà họ tuyên bố ngăn phần mềm độc hại thay đổi trình duyệt của bạn. Điều họ không đề cập đến là điều đó cũng ngăn bạn thực hiện bất kỳ thay đổi nào đối với trình duyệt của họ trừ khi bạn sử dụng bảng điều khiển Tìm kiếm bảo vệ của họ để thực hiện những thay đổi đó, điều mà hầu hết mọi người sẽ không biết vì nó bị chôn vùi trong khay hệ thống.
Conduit không chỉ chuyển hướng tất cả các tìm kiếm của bạn đến trang Bing tùy chỉnh của riêng họ, nó sẽ đặt đó là trang chủ của bạn. Người ta sẽ phải cho rằng Microsoft đang trả tiền cho họ cho tất cả lưu lượng truy cập này cho Bing, vì họ cũng đang chuyển một số ?pc = ống dẫn loại đối số trong chuỗi truy vấn.
Sự thật thú vị: công ty đứng sau đống rác này trị giá 1,5 tỷ đô la và JP Morgan đã đầu tư 100 triệu đô la vào chúng. Trở nên xấu xa là có lợi nhuận.
Conduit chiếm quyền điều khiển trang Tab mới nhưng làm thế nào?
Chiếm quyền tìm kiếm và trang chủ của bạn là không đáng kể đối với bất kỳ phần mềm độc hại nào - đây là nơi Conduit đẩy lùi tà ác và bằng cách nào đó viết lại trang Tab mới để buộc nó hiển thị Conduit, ngay cả khi bạn thay đổi mọi cài đặt đơn lẻ.
Bạn có thể gỡ cài đặt tất cả các trình duyệt của mình hoặc thậm chí cài đặt trình duyệt mà bạn chưa cài đặt trước đó, như Firefox hoặc Chrome và Conduit vẫn sẽ quản lý để chiếm quyền điều khiển trang Tab mới.
Ai đó nên ở trong tù, nhưng có lẽ họ đang ở trên du thuyền.Không cần nhiều về các kỹ năng chuyên nghiệp để cuối cùng suy luận rằng vấn đề là ứng dụng Search Protect đang chạy trong khay hệ thống. Giết quá trình đó và đột nhiên các tab mới của bạn mở theo cách mà nhà sản xuất trình duyệt dự định.
Nhưng làm thế nào, chính xác, nó làm điều này? Không có tiện ích bổ sung hoặc tiện ích mở rộng nào được cài đặt vào bất kỳ trình duyệt nào. Không có bất kỳ plugin nào. Sổ đăng ký sạch sẽ. Họ làm nó như thế nào?
Đây là nơi chúng tôi chuyển sang Process Explorer để thực hiện một số điều tra. Trước tiên, chúng tôi sẽ tìm thấy quy trình Bảo vệ Tìm kiếm trong danh sách, điều này đủ dễ vì nó được đặt tên chính xác, nhưng nếu bạn không chắc chắn, bạn luôn có thể mở cửa sổ và sử dụng biểu tượng mắt bò nhỏ bên cạnh ống nhòm để tìm ra quá trình thuộc về một cửa sổ.
Bây giờ bạn có thể chỉ cần chọn quy trình thích hợp, trong trường hợp này là một trong ba quy trình chạy tự động bởi Dịch vụ Windows mà Conduit cài đặt. Làm sao tôi biết rằng đó là một Dịch vụ Windows khởi động lại nó? Bởi vì màu của hàng đó là màu hồng, tất nhiên. Được trang bị kiến thức đó, tôi luôn có thể dừng hoặc xóa dịch vụ (mặc dù trong trường hợp cụ thể này, bạn chỉ cần gỡ cài đặt khỏi Gỡ cài đặt chương trình trong Bảng điều khiển).
Bây giờ bạn đã chọn quy trình, bạn có thể sử dụng các phím tắt CTRL + H hoặc CTRL + D để mở chế độ xem Handles hoặc chế độ xem DLL hoặc bạn có thể sử dụng menu View -> Lower Pane View để thực hiện.
Chú thích: trong thế giới của Windows, một tay cầm của người dùng là một giá trị số nguyên được sử dụng để xác định duy nhất một tài nguyên trong bộ nhớ như cửa sổ, tệp mở, quy trình hoặc nhiều thứ khác. Ví dụ, mỗi cửa sổ ứng dụng đang mở trên máy tính của bạn có một cửa sổ duy nhất xử lý, có thể được sử dụng để tham chiếu nó.
DLL, hoặc thư viện liên kết động, là những đoạn mã được biên dịch chung được lưu trữ trong một tệp riêng biệt để được chia sẻ giữa nhiều ứng dụng. Chẳng hạn, thay vì yêu cầu mọi ứng dụng ghi hộp thoại Mở / Lưu tệp riêng, tất cả các ứng dụng có thể chỉ cần sử dụng mã hộp thoại chung do Windows cung cấp trong tệp comdlg32.dll.
Nhìn qua danh sách các tay cầm trong vài phút đã đưa chúng ta đến gần hơn một chút với những gì đang diễn ra, bởi vì chúng tôi đã tìm thấy các tay cầm cho Internet Explorer và Chrome, cả hai đều hiện đang mở trên hệ thống thử nghiệm. Chúng tôi chắc chắn đã xác nhận rằng Search Protect đang làm gì đó với các cửa sổ trình duyệt mở của chúng tôi, nhưng chúng tôi sẽ cần nghiên cứu thêm một chút để tìm ra chính xác những gì.
Điều tiếp theo cần làm là bấm đúp vào quy trình trong danh sách để mở chế độ xem chi tiết, sau đó lật sang tab Hình ảnh, nó sẽ cung cấp cho bạn thông tin về đường dẫn đầy đủ đến tệp thực thi, dòng lệnh và thậm chí cả thư mục làm việc. Chúng tôi sẽ nhấp vào nút Khám phá để xem thư mục cài đặt và xem những gì khác đang ẩn ở đó.
Hấp dẫn! Chúng tôi đã tìm thấy một số tệp DLL ở đây, nhưng vì một số lý do kỳ lạ, không có tệp DLL nào được liệt kê trong chế độ xem DLL cho quy trình Tìm kiếm bảo vệ khi chúng tôi xem xét trước đó. Đây có thể là một vấn đề.
Trang tiếp theo: Xử lý các tệp và thư mục bị khóa