Ymmärtäminen siitä, miten prosessinvalvojan valintaikkunat ja asetukset toimivat, ovat kaikki hienoja ja hyviä, mutta entä sen käyttäminen todellisen vianmäärityksen tai ongelman selvittämiseksi? Tämän päivän Geek-koulukurssi yrittää auttaa sinua oppimaan, miten tehdä juuri niin.
Koulun navigointiEi niin kauan sitten, aloimme tutkia kaikenlaisia haittaohjelmia ja krapareja, jotka asennetaan automaattisesti, kun et kiinnitä huomiota ohjelmiston asennuksen aikana. Lähes jokainen markkinoiden freeware, mukaan lukien "hyvämaineiset", ovat niputtamalla työkalupalkkeja, etsimällä kaappausta kauheudesta tai mainosohjelmista ja osa niistä on vaikea vianmääritys.
Olemme nähneet monia tietokoneita ihmisiltä, että tiedämme, että niillä on niin paljon vakoiluohjelmia ja mainosohjelmia, että tietokone tuskin kuormaa enää. Yritä ladata verkkoselain erityisesti, on lähes mahdotonta, sillä kaikki mainos- ja seurantaohjelmistot kilpailee resursseista varastamaan yksityisiä tietoja ja myymään ne korkeimmalle tarjoajalle.
Joten luonnollisesti halusimme tehdä hieman tutkimusta siitä, miten osa näistä toimii, eikä ole olemassa parempaa paikkaa kuin Conduit Search haittaohjelma, joka on vaatinut satoja miljoonia tietokoneita maailmanlaajuisesti. Tämä kauhea kauheus kaappaa hakukoneesi selaimellasi, muuttaa kotisivusi ja ärsyttävää, se ottaa uuden välilehden sivulta riippumatta, mihin selaimesi on asetettu.
Aloitamme tarkastelemalla sitä ja sitten näytämme, kuinka voit käyttää prosessinsyöttöä vianmääritykseen virheistä, jotka puhuvat käytössä olevista lukituista tiedostoista ja kansioista.
Ja sitten kierrämme sen toisen tarkastelun kanssa, miten jotkut mainosohjelmat piiloutuvat Microsoftin prosessien takia, jotta ne näyttäisivät oikein Process Explorer tai Task Manager, vaikka ne eivät todellisuudessa ole.
Kuten mainitsimme, Conduit-haun kaappaaja on yksi pysyimmistä, kauhistuttavista ja kauheista asioista, joista lähes jokaisella sukulaisillasi on luultavasti tietokoneella. He niputtavat ohjelmistonsa varjoisasti kaikilla freeware-ohjelmilla, ja monissa tapauksissa, vaikka valitsisit opt-outin, kaappaaja asennetaan edelleen.
Conduit asentaa sen, mitä he kutsuvat nimellä "Search Protect", jota he väittävät estävän haittaohjelmia muuttamasta selaimeesi. Mitä he eivät mainitse, se estää sinua myös tekemästä muutoksia selaimellasi, ellet käytä Search Protect -paneelia tekemällä muutoksia, joita useimmat ihmiset eivät tiedä, koska se on hautattu järjestelmäalustalle.
Conduit ei vain ohjaa kaikkia hakuja omalle mukautetulle Bing-sivullesi, vaan asettaa sen kotisivuksi. Yksi joutuisi olettamaan, että Microsoft maksaa heille kaiken tämän liikenteen Bingille, koska he kulkevat myös jonkin verran ? Pc = putken argumenttien tyyppi kyselyjonoissa.
Hauska tosiasia: tämän roskien takana oleva yritys on 1,5 miljardin dollarin arvoinen ja JP Morgan sijoitti niihin 100 miljoonaa dollaria. Pahan on kannattavaa.
Hakun ja kotisivun kaappaaminen on vähäpätöistä haittaohjelmille - tämä on silloin, kun Conduit korottaa pahan ja jotenkin kirjoittaa uuden välilehden sivulle, jotta se pakottaisi näyttämään Conduitin, vaikka muutatkin yksittäisiä asetuksia.
Voit poistaa kaikki selaimesi asennuksen tai jopa asentaa selaimen, jota et ole asentanut ennen, kuten Firefox tai Chrome, ja Conduit edelleen hallinnoi uuden välilehden sivun.
Jonkun pitäisi olla vankilassa, mutta he todennäköisesti ovat veneessä. Se ei kata paljon geek taitoja lopulta päätellä, että ongelma on Search Protect sovellus käynnissä järjestelmäpalkissa. Tapa tätä prosessia, ja yhtäkkiä uudet välilehdet avautuvat aivan kuten selaimen valmistaja aikoi.
Mutta miten, tarkalleen, se tekee sen? Minkään selaimelle ei ole lisäosia tai laajennuksia. Ei ole mitään laajennuksia. Rekisteri on puhdas. Kuinka he tekevät sen?
Tällöin käsittelemme Process Explorer -ohjelmaa tekemään jonkin verran tutkimusta. Ensinnäkin löydämme luettelon Search Protect -prosessista, joka on tarpeeksi helppoa, koska se on nimetty oikein, mutta jos et olisikaan varma, voit aina avata ikkunan ja käyttää pienen sonnien silmäkuvaketta Kiikarit selvittää, mikä prosessi kuuluu ikkunaan.
Nyt voit valita sopivan prosessin, joka tässä tapauksessa oli yksi kolmesta, jota Conduit asentaa Windows-palvelu automaattisesti. Kuinka saan tietää, että se oli Windows-palvelu, joka käynnistää sen uudelleen? Koska rivin väri on luonnollisesti vaaleanpunainen. Tämän tietämyksen avulla voin aina pysähtyä tai poistaa palvelun (vaikka tässäkin tapauksessa voit poistaa asennuksen Uninstall Programs -ohjelmistosta Ohjauspaneelissa).
Nyt kun olet valinnut prosessin, voit käyttää CTRL + H- tai CTRL + D-pikavalintanäppäimiä avataksesi kädensijat -näkymän tai DLL-näkymän tai voit käyttää näkymää -> Alalaippa-näkymää.
Huomautus:Windows-maailmassa "kahva" on kokonaislukuarvo, jota käytetään yksilöimään muistin resurssit, kuten ikkuna, avoin tiedosto, prosessi tai monet muut asiat. Jokaisessa tietokoneen avoimessa sovellusikkunassa on esimerkiksi ainutlaatuinen "ikkunakahva", jota voidaan käyttää viittaamaan siihen.
DLL-tiedostot tai dynaamiset linkkikirjastot ovat jaettuja koottuja koodikappaleita, jotka on tallennettu erilliseen tiedostoon jaettavaksi useiden sovellusten välillä. Esimerkiksi sen sijaan, että jokainen hakemus kirjoittaisi omat tiedoston Avaa / Tallennus-valintaikkunat, kaikki sovellukset voivat yksinkertaisesti käyttää yhteistä valintakoodia, jonka Windows tarjoaa komdlg32.dll-tiedostossa.
Kaukaloiden luetteloiden tarkasteleminen muutaman minuutin ajan toi meidät hieman lähemmäksi tapahtumia, koska löydimme kahvat Internet Explorerille ja Chromelle, jotka molemmat ovat tällä hetkellä avoinna testijärjestelmässä. Olemme varmasti vahvistaneet, että Search Protect tekee jotain avoimille selainikkunoillemme, mutta meidän on tehtävä hieman enemmän tutkimusta selvittääksemme tarkalleen, mitä.
Seuraava tehtävä on kaksoisnapsauta prosessia luettelossa avataksesi yksityisnäkymän ja siirtymään sitten Kuva-välilehteen, josta saat tietoja suoritustiedoston, komentorivin ja jopa tiedoston koko polusta. työaseman. Napsautamme Tutustu-painiketta nähdäksesi asennuskansio ja katso, mitä muuta piiloutuu siellä.
Mielenkiintoista! Olemme löytäneet useita DLL-tiedostoja täällä, mutta jonkin outoa syytä varten mikään näistä DLL-tiedostoista ei ole listattu DLL-näkymässä Search Protect -prosessille, kun tarkastelemme sitä aikaisemmin. Tämä voi olla ongelma.
Seuraava sivu: käsitellään lukittuja tiedostoja ja kansioita
