УЧИЛИЩНА НАВИГАЦИЯ
- Какви са SysInternals Tools и как ги използвате?
- Разбиране на процеса Explorer
- Използване на Process Explorer за отстраняване на неизправности и диагностика
- Разбиране на процеса на наблюдение
- Използване на процесния монитор за отстраняване на неизправности и откриване на системни хакове
- Използване на автомати за работа с процеси на стартиране и злонамерен софтуер
- Използване на BgInfo за показване на информация за системата на работния плот
- Използване на PsTools за управление на други компютри от командния ред
- Анализиране и управление на вашите файлове, папки и дискове
- Обвиване и използване на инструментите заедно
Не толкова отдавна, ние започнахме да разследваме всички видове зловреден софтуер и crapware, които се инсталират автоматично всеки път, когато не обръщате внимание при инсталирането на софтуера. Почти всяко парче свободен софтуер на пазара, включително и "реномираните", обединява ленти с инструменти, търсене на отвличане на ужас или рекламен софтуер, а някои от тях са трудни за отстраняване.
Видяхме много компютри от хора, които знаем, че разполагат с толкова шпионски и рекламен софтуер, че компютърът почти не се зарежда вече. Опитвайки се да заредите уеб браузъра, е почти невъзможно, тъй като целият софтуер за рекламиране и проследяване се конкурира за ресурси, за да открадне личната ви информация и да я продаде на най-продаващия.
Естествено, искахме да направим малко разследване за това как някои от тях работят и няма по-добро място да започнем от зловреден софтуер Conduit Search, който поиска стотици милиони компютри по целия свят. Тази невероятна ужас отвлича търсещата ви машина в браузъра ви, променя началната Ви страница и най-досадно превзема страницата ви с новия раздел, независимо от настройката на вашия браузър.
Ще започнем с това, след което ще ви покажем как да използвате Process Explorer за отстраняване на грешки, които говорят за заключени файлове и папки, които се използват.
И тогава ще го заобиколим с още един поглед към това, как някои рекламни са тези дни се крият зад процесите на Microsoft, така че те да изглеждат легитимни в Process Explorer или Task Manager, въпреки че те наистина не са.
Проучване на зловреден софтуер за търсене в
Както споменахме, похитителят на търсенето на Conduit е едно от най-упоритите, ужасни и ужасни неща, които почти всички ваши роднини вероятно имат на компютъра си. Те обединяват софтуера си по сенчести начини с безплатния софтуер, който могат, и в много случаи, дори ако изберете да се откажете, похитителят все още ще бъде инсталиран.
Conduit инсталира това, което те наричат "Search Protect", което твърдят, че не позволява на злонамерения софтуер да прави промени в браузъра ви. Това, което те не споменават, е, че също така ви пречи да правите промени в браузъра си, освен ако не използвате панела им за търсене, за да направите тези промени, които повечето хора няма да знаят, тъй като са заровени в системната област.
Не само Conduit ще пренасочи всичките ви търсения към собствената си страница за Bing, но ще определи това като начална страница. Човек би трябвало да приеме, че Microsoft ги е плащал за целия този трафик към Бинг, тъй като те също преминават някои ? Бр = канал тип аргументи в заявката низ.
Забавен факт: компанията зад това парче боклук струва 1,5 милиарда долара, а JP Morgan инвестира 100 милиона долара в тях. Да бъдеш зло е печелившо.
Conduit отвлича нови страници в раздела … Но как?
Отвличането на търсенето и началната ви страница са тривиални за всеки злонамерен софтуер - това е, където Conduit засилва злото и по някакъв начин пренаписва новия раздел в табла, за да го принуди да покаже Conduit, дори ако промените всяка настройка.
Можете да деинсталирате всичките си браузъри или дори да инсталирате браузър, който не сте инсталирали преди, като Firefox или Chrome, а Conduit пак ще успее да отвлече страницата "Нов раздел".
Тук се обръщаме към Process Explorer, за да извършим известно разследване. Първо, в списъка ще открием процеса "Защита за търсене", който е достатъчно лесен, защото е правилно наименуван, но ако не сте сигурни, винаги можете да отворите прозореца и да използвате иконата за малки бийтове до бинокли, за да разберете кой процес принадлежи на прозорец.
След като сте избрали този процес, можете да използвате клавишните комбинации CTRL + H или CTRL + D, за да отворите екрана Дръжки или изгледа DLL или можете да използвате менюто View -> View Lower Pane View, за да го направите.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Преглеждането на списъка с дръжки за няколко минути ни донесе малко по-близо до това, което се случва, защото намерихме дръжки за Internet Explorer и Chrome, които в момента са отворени на тестовата система. Определено сме потвърдили, че Search Protect прави нещо в нашите отворени прозорци на браузъра, но ще трябва да направим малко повече изследвания, за да разберем какво точно.