Menggunakan Explorer Proses untuk Menyelesaikan Masalah dan Diagnosa
Memahami bagaimana dialog dan opsyen Proses Explorer berfungsi dengan baik dan baik, tetapi bagaimana pula menggunakannya untuk menyelesaikan masalah sebenar atau untuk mendiagnosis masalah? Pelajaran Sekolah Geek hari ini akan cuba dan membantu anda belajar bagaimana untuk melakukannya.
NAVIGASI SEKOLAH- Apakah Alat SysInternals dan Bagaimana Anda Menggunakannya?
- Memahami Proses Explorer
- Menggunakan Explorer Proses untuk Menyelesaikan Masalah dan Diagnosa
- Memahami Proses Monitor
- Menggunakan Monitor Proses untuk Memecahkan Masalah dan Cari Hacks Pendaftaran
- Menggunakan Autoruns untuk Berurusan dengan Proses Permulaan dan Malware
- Menggunakan BgInfo untuk Memaparkan Maklumat Sistem pada Desktop
- Menggunakan PsTools untuk Mengawal PC Lain dari Barisan Perintah
- Menganalisa dan Mengurus Fail, Folder dan Pemacu Anda
- Bungkus dan Menggunakan Alat Bersama
Tidak lama dahulu, kami mula menyiasat pelbagai jenis malware dan crapware yang dipasang secara automatik pada bila-bila masa anda tidak memberi perhatian semasa memasang perisian. Hampir setiap perisian percuma di pasaran, termasuk yang "bereputasi", adalah bar alat pemasangan, carian merampas kekerasan, atau adware, dan sesetengahnya sukar untuk menyelesaikan masalah.
Kami telah melihat banyak komputer dari orang yang kita tahu yang mempunyai banyak spyware dan adware dipasang bahawa PC nyaris tidak banyak lagi. Cuba memuatkan pelayar web, terutamanya, hampir mustahil, kerana semua adware dan perisian pengesanan bersaing untuk sumber mencuri maklumat peribadi anda dan menjualnya kepada pembida tertinggi.
Jadi secara semulajadi, kami ingin melakukan sedikit penyiasatan mengenai bagaimana beberapa kerja ini, dan tidak ada tempat yang lebih baik untuk bermula daripada malware Search Conduit yang telah menuntut ratusan juta komputer di seluruh dunia. Kebahagiaan jahat ini merampas enjin gelintar anda dalam penyemak imbas anda, mengubah laman utama anda, dan paling menjengkelkan, mengambil alih halaman Tab Baharu anda tidak kira apa penyemak imbas anda ditetapkan kepada.
Kami akan mula dengan melihatnya, dan kemudian kami akan menunjukkan kepada anda cara menggunakan Process Explorer untuk menyelesaikan masalah yang bercakap tentang fail dan folder terkunci yang sedang digunakan.
Dan kemudian kita akan mengulanginya dengan melihat bagaimana beberapa adware hari ini menyembunyikan diri di belakang proses Microsoft supaya mereka muncul legit dalam Process Explorer atau Task Manager, walaupun mereka tidak benar.
Menyiasat Ketahui Perisian Malware
Seperti yang telah kami katakan, perayauan carian Conduit adalah salah satu perkara yang paling berterusan, dahsyat, dan dahsyat yang hampir semua saudara anda mungkin ada pada komputer mereka. Mereka membundel perisian mereka dengan cara yang teduh dengan mana-mana perisian percuma yang mereka boleh, dan dalam banyak keadaan, walaupun anda memilih untuk menyisih, perampas itu masih akan dipasang.
Conduit memasang apa yang mereka panggil "Search Protect", yang mereka menuntut menghalang malware daripada membuat perubahan pada penyemak imbas anda. Apa yang tidak mereka nyatakan ialah ia juga menghalang anda daripada melakukan apa-apa perubahan pada penyemak imbas mereka melainkan anda menggunakan panel Search Protect mereka untuk membuat perubahan tersebut, yang mana kebanyakan orang tidak akan tahu kerana ia dikebumikan dalam dulang sistem.
Bukan sahaja Conduit akan mengalihkan semua carian anda ke laman Bing peribadi mereka, ia akan menetapkannya sebagai halaman utama anda. Orang harus menganggap bahawa Microsoft membayar mereka untuk semua lalu lintas ini ke Bing, kerana mereka juga melewati beberapa ?pc = saluran jenis hujah dalam rentetan pertanyaan.
Fakta gembira: syarikat di sebalik sampah ini bernilai $ 1.5 bilion dan JP Morgan melaburkan $ 100 juta kepada mereka. Menjadi kejahatan adalah menguntungkan.
Conduit Hijacks Laman Tab Baru ... Tetapi Bagaimana?
Pembajakan carian dan halaman rumah anda adalah remeh untuk mana-mana malware - ini di mana Conduit meningkatkan kejahatan dan entah bagaimana menulis semula halaman Tab Baharu untuk memaksanya untuk menunjukkan Conduit, walaupun jika anda menukar setiap tetapan tunggal.
Anda boleh menyahpasang semua penyemak imbas anda, atau memasang pelayar yang tidak anda pasang sebelum ini, seperti Firefox atau Chrome, dan Conduit masih akan berjaya merampas halaman Tab Baharu.
Seseorang harus dipenjarakan, tetapi mereka mungkin berada di atas kapal layar.Ia tidak mengambil banyak dari segi kemahiran geek untuk akhirnya menyimpulkan bahawa masalahnya adalah aplikasi Search Protect yang berjalan dalam dulang sistem. Membunuh proses itu, dan tiba-tiba tab baru anda terbuka seperti cara pembuat pelayar.
Tetapi, bagaimana, adakah ia melakukan ini? Tidak ada add-on atau sambungan yang dipasang ke mana-mana penyemak imbas. Tidak ada plugin. Pendaftaran adalah bersih. Bagaimana mereka melakukannya?
Di sinilah kita berpaling ke Process Explorer untuk melakukan penyiasatan. Pertama, kami akan mencari proses Melindungi Carian dalam senarai, yang cukup mudah kerana ia dinamakan dengan betul, tetapi jika anda tidak pasti, anda sentiasa boleh membuka tingkap dan menggunakan ikon bulls-eye kecil di sebelah teropong untuk mengetahui proses mana yang dimiliki oleh tingkap.
Sekarang anda boleh memilih proses yang sesuai, yang dalam kes ini adalah salah satu daripada tiga yang dijalankan secara automatik oleh Perkhidmatan Windows yang dipasang Conduit. Bagaimanakah saya tahu bahawa itu adalah Perkhidmatan Windows yang dimulakan semula? Kerana warna baris itu merah jambu, tentu saja. Bersenjata dengan pengetahuan itu, saya sentiasa boleh berhenti atau memadamkan perkhidmatan (walaupun dalam kes ini, anda hanya dapat menyahpasang dari Uninstall Programs in Control Panel).
Sekarang anda telah memilih proses ini, anda boleh menggunakan kekunci pintasan CTRL + H atau CTRL + D untuk membuka pandangan Handsles atau paparan DLL, atau anda boleh menggunakan Lihat -> Pandangan bawah menu Pane untuk melakukannya.
Catatan: di dunia Windows, "pemegang" adalah nilai integer yang digunakan untuk mengenal pasti sumber yang unik dalam memori seperti tetingkap, fail terbuka, proses, atau banyak perkara lain. Setiap tetingkap aplikasi terbuka pada komputer anda mempunyai "pemegang window" yang unik, contohnya, yang boleh digunakan untuk rujukannya.
DLL, atau pustaka pautan dinamik, dikongsi kod gabungan yang disimpan dalam fail berasingan untuk dikongsi di antara pelbagai aplikasi. Sebagai contoh, bukannya setiap aplikasi menulis dialog Open / Save File mereka sendiri, semua aplikasi hanya boleh menggunakan kod dialog biasa yang disediakan oleh Windows dalam fail comdlg32.dll.
Melihat senarai pemegang selama beberapa minit membawa kami sedikit lebih dekat dengan apa yang sedang berlaku, kerana kami mendapati mengendalikan Internet Explorer dan Chrome, kedua-duanya sedang dibuka pada sistem ujian. Kami pasti mengesahkan bahawa Search Protect sedang melakukan sesuatu pada tetingkap penyemak imbas terbuka kami, tetapi kami perlu melakukan penyelidikan sedikit untuk mengetahui dengan tepat apa.
Perkara seterusnya yang dilakukan ialah klik dua kali proses dalam senarai untuk membuka paparan butiran, dan kemudian flip ke tab Imej, yang akan memberi anda maklumat mengenai laluan penuh ke lansung yang boleh laksana, baris perintah, dan juga folder kerja. Kami akan mengklik butang Explore untuk melihat folder pemasangan dan melihat apa lagi yang bersembunyi di sana.
Menarik! Kami telah menemui beberapa fail DLL di sini, tetapi atas sebab-sebab tertentu, tiada satu pun daripada fail DLL yang telah disenaraikan dalam paparan DLL untuk proses Melindungi Cari ketika kami melihatnya lebih awal. Ini mungkin menjadi masalah.
Halaman seterusnya: Berurusan dengan Fail Terkunci dan Folder