Sorun Gidermek ve Tanılamak için İşlem Gezgini'ni Kullanma
Process Explorer'ın iletişim kutularının ve seçeneklerinin nasıl çalıştığını anlamak iyi ve iyi, peki ya bazı sorun giderme için ya da bir sorunu teşhis etmek için kullanmaktan ne haber? Bugünün Geek Okulu dersi nasıl yapacağınızı öğrenmenize yardımcı olacak.
OKUL GEÇİŞİ- SysInternals Araçları Nedir ve Bunları Nasıl Kullanırsınız??
- Process Explorer'ı Anlamak
- Sorun Gidermek ve Tanılamak için İşlem Gezgini'ni Kullanma
- İşlem İzleyiciyi Anlamak
- Kayıt Korsanlığı Sorunlarını Gidermek ve Bulmak için İşlem İzleyiciyi Kullanma
- Başlangıç İşlemleri ve Kötü Amaçlı Yazılımlarla Başa Çıkmak için Otomatik Çalıştırmaları Kullanma
- Masaüstünde Sistem Bilgilerini Görüntülemek için BgInfo Kullanımı
- Komut Satırından Diğer Bilgisayarları Kontrol Etmek İçin PsTools Kullanma
- Dosyalarınızı, Klasörlerinizi ve Sürücülerinizi Analiz Etme ve Yönetme
- Araçları Sarma ve Birlikte Kullanma
Çok uzun zaman önce, yazılımı kurarken dikkat etmediğiniz zamanlarda otomatik olarak kurulan her türlü kötü amaçlı yazılımı ve crapware'i incelemeye başladık. “Saygın” olanlar da dahil olmak üzere piyasadaki hemen hemen her ücretsiz yazılım, araç çubukları topluyor, arama kaçırma korkunçluğu veya reklam içeriyor ve bazılarının giderilmesi zor.
Bilgisayarın zorlukla yüklediği kadar yüklü casus yazılım ve adware yüklü olduğunu bildiğimiz insanlardan birçok bilgisayar gördük. Web tarayıcısını yüklemeyi denemek, özellikle de neredeyse imkansızdır, çünkü tüm adware ve izleme yazılımı, özel bilgilerinizi çalmak ve en yüksek teklifi verene satmak için kaynaklar için rekabet eder..
Doğal olarak, bu çalışmaların bir kısmının nasıl çalıştığı hakkında biraz araştırma yapmak istedik ve dünya çapında yüz milyonlarca bilgisayar talep eden Conduit Search kötü amaçlı yazılımından daha iyi bir başlangıç yeri yoktu. Bu müthiş berbatlık, tarayıcınızdaki arama motorunu ele geçirir, ana sayfanızı değiştirir ve en sinir bozucu biçimde, tarayıcınızın ayarına bakılmaksızın Yeni Sekme sayfanızı alır..
Buna bakmakla başlayacağız ve daha sonra kilitli dosya ve kullanımda olan klasörler hakkında konuşan hataları gidermek için İşlem Gezgini'ni nasıl kullanacağınızı göstereceğiz..
Sonra, bugünlerde bazı adware'lerin kendilerini Microsoft işlemlerinin arkasına nasıl sakladıklarına baktıktan sonra tekrar gözden geçireceğiz, böylece gerçekte olmasalar bile İşlem Gezgini'nde veya Görev Yöneticisi'nde okunaklı görünüyorlar.
Kanal Arama Zararlı Yazılımını İnceleme
Bahsettiğimiz gibi, Conduit arama korsanının, akrabalarınızın neredeyse her birinin bilgisayarında muhtemelen sahip olduğu en kalıcı, en korkunç ve korkunç şeylerden biri. Yazılımlarını gölgeli yöntemlerle yapabildikleri herhangi bir ücretsiz yazılımla paketlerler ve birçok durumda, vazgeçmeyi seçseniz bile, hırsız korsanlığı yüklenecek.
Conduit, kötü amaçlı yazılımın tarayıcınızda değişiklik yapmasını engellediğini iddia ettiği “Arama Koruması” olarak adlandırdıkları şeyi yükler. Bahsetmedikleri, çoğu kullanıcının sistem tepsisinde gömüldüğünden beri bilmeyeceği değişiklikleri yapmak için Arama Koruma panelini kullanmadıkça, tarayıcılarında herhangi bir değişiklik yapmanıza engel olacağıdır..
Conduit tüm aramalarınızı yalnızca kendi özel Bing sayfalarına yönlendirmekle kalmaz, bunu ana sayfanız olarak da belirler. Birinin Microsoft’un tüm bu trafik için Bing’e para ödediğini varsayması gerekir; ?pc = kanal sorgu dizesindeki değişkenlerin türü.
Eğlenceli gerçek: Bu çöpün arkasındaki şirket 1,5 Milyar Dolar değerinde ve JP Morgan da 100 Milyon Dolara yatırım yaptı. Kötü olmak karlı.
Kanal Yeni Sekme Sayfasını Gizledi… Ama Nasıl?
Arama ve ana sayfanızı kaçırmak kötü amaçlı yazılımlar için çok önemlidir - bu, Conduit'in kötülüğü artırdığı ve her bir ayarı değiştirseniz bile Conduit'i göstermeye zorlamak için Yeni Sekme sayfasını yeniden yazdığı yerdir.
Tüm tarayıcılarınızı kaldırabilir veya Firefox veya Chrome gibi daha önce yüklememiş olduğunuz bir tarayıcıyı yükleyebilirsiniz; Conduit de Yeni Sekme sayfasını kaçırmayı başarabilir.
Biri hapiste olmalı, ama muhtemelen yatta olmalılar..Sonunda problemin sistem tepsisinde çalışan Search Protect uygulaması olduğunu tespit etmek geek becerileri açısından pek fazla bir şey gerektirmez. Bu işlemi durdurun ve aniden yeni sekmeleriniz tarayıcı yapanın istediği şekilde açılır.
Fakat bunu tam olarak nasıl yapıyor? Tarayıcıların hiçbirine yüklü eklenti veya uzantı yok. Eklenti yok. Kayıt defteri temiz. Nasıl yapıyorlar?
Bu, bazı araştırmalar yapmak için İşlem Gezgini'ne yöneldiğimiz yer. İlk önce, Listede Arama Koruması işlemini bulacağız, ki bu uygun şekilde adlandırılmış çünkü yeterince kolay, ancak emin değilseniz, her zaman pencereyi açıp, yanındaki küçük boğa göz simgesini kullanabilirsiniz. hangi sürecin bir pencereye ait olduğunu bulmak için dürbün.
Artık, bu durumda Conduit’in kurduğu Windows Hizmeti tarafından otomatik olarak çalışan üç işlemden biri olan uygun işlemi seçebilirsiniz. Yeniden başlatan bir Windows Hizmeti olduğunu nasıl bildim? Çünkü bu sıranın rengi elbette pembedir. Bu bilgiyle donanmış olarak her zaman durdurabilir veya hizmeti silebilirim (ancak bu durumda, Denetim Masası'ndaki Program Kaldırma Programından kaldırabilirsiniz).
Artık işlemi seçtiğinize göre, Handles görünümünü veya DLL görünümünü açmak için CTRL + H veya CTRL + D kısayol tuşlarını kullanabilir veya bunu yapmak için Görünüm -> Alt Bölme Görünümü menüsünü kullanabilirsiniz..
Not: Windows dünyasında, bir “tanıtıcı”, bir pencere, açık bir dosya, bir işlem veya başka birçok şey gibi bellekteki bir kaynağı benzersiz bir şekilde tanımlamak için kullanılan bir tamsayı değeridir. Bilgisayarınızdaki açık uygulama pencerelerinin her biri, örneğin referans vermek için kullanılabilecek benzersiz bir "pencere tanıtıcısı" içerir..
DLL'ler veya dinamik bağlantı kitaplıkları, birden fazla uygulama arasında paylaşılmak üzere ayrı bir dosyada depolanan derlenmiş kod parçalarıdır. Örneğin, her uygulamanın kendi Dosya Aç / Kaydet iletişim kutularını yazmasını sağlamak yerine, tüm uygulamalar comdlg32.dll dosyasında Windows tarafından sağlanan ortak iletişim kodunu kullanabilir..
Kolları birkaç dakika boyunca incelemek bizi olanlara biraz daha yaklaştırdı, çünkü ikisi de şu anda test sisteminde açık olan Internet Explorer ve Chrome'da tanıtıcılar bulduk. Search Protect’in açık tarayıcı pencerelerimize bir şey yaptığını kesinlikle onayladık, ancak tam olarak ne olduğunu bulmak için biraz daha araştırma yapmamız gerekecek..
Yapacak bir sonraki şey, ayrıntılar görünümünü açmak için listedeki işlemi çift tıklamak ve ardından çalıştırılabilir yoluna, komut satırına ve hatta komut satırına giden yolun tamamı hakkında bilgi verecek olan Görüntü sekmesine çevirmek. çalışma klasörü Kurulum klasörüne göz atmak ve orada başka neler saklandığını görmek için Araştır düğmesini tıklayacağız..
İlginç! Burada çok sayıda DLL dosyası bulduk, ancak garip bir nedenden dolayı, bu DLL dosyalarının hiçbiri daha önce incelediğimizde Arama Koruması işlemi için DLL görünümünde listelenmişti. Bu problem olabilirdi.
Sonraki Sayfa: Kilitli Dosya ve Klasörlerle İlişkiler