Protsessi Exploreri kasutamine tõrkeotsinguks ja diagnoosimiseks
Arusaamine sellest, kuidas protsessi Exploreri dialoogid ja suvandid töötavad, on kõik korras ja hea, kuid kuidas on selle kasutamine mõne tegeliku tõrkeotsinguks või probleemi diagnoosimiseks? Tänane Geek kooli õppetund püüab ja aitab teil õppida, kuidas seda teha.
KOOLI NAVIGATSIOON- Millised on SysInternals'i tööriistad ja kuidas neid kasutate?
- Protsessi Exploreri mõistmine
- Protsessi Exploreri kasutamine tõrkeotsinguks ja diagnoosimiseks
- Protsessimonitori mõistmine
- Process Monitori kasutamine registrihäirete tõrkeotsinguks ja leidmiseks
- Autorunsi kasutamine käivitusprotsesside ja pahavara käitlemiseks
- BgInfo kasutamine süsteemi teabe kuvamiseks töölaual
- PsTools kasutamine muude arvutite juhtimiseks käsurealt
- Failide, kaustade ja draivide analüüsimine ja haldamine
- Tööriistade kokkuklapitamine ja kasutamine koos
Mitte nii kaua aega tagasi hakkasime uurima igasuguseid pahavara ja crapware'i, mis installitakse automaatselt, kui te tarkvara installimise ajal tähelepanu ei pööra. Peaaegu iga turul olev vabavara, sealhulgas “mainekas”, on tööriistaribade komplekteerimine, otsimine kaaperdamise või reklaamvara eest ning mõned neist on raskesti lahendatavad.
Me oleme näinud paljusid arvuteid inimestelt, keda me teame, millel on nii palju nuhkvara ja nuhkvara installitud, et arvuti vaevalt enam koormate. Eriti veebibrauseri laadimise üritamine on peaaegu võimatu, kuna kõik reklaami- ja jälgimisseadmed konkureerivad ressursside eest, et varastada teie isiklikku teavet ja müüa see kõige kõrgemale pakkujale.
Nii et loomulikult soovisime teha natuke uurimist selle kohta, kuidas mõned neist töödest, ja pole paremat alust alustada kui Conduit Search pahavara, mis on nõudnud sadu miljoneid arvuteid kogu maailmas. See ebameeldiv kohutavus tabab teie otsingumootori teie brauseris, muudab teie kodulehte ja kõige häirivamalt võtab see üle uue vahekaardi lehe, olenemata sellest, milline on teie brauser.
Alustame seda vaadates ja siis näitame teile, kuidas kasutada protsessi Explorerit tõrkeotsingute puhul, mis räägivad kasutatavatest lukustatud failidest ja kaustadest.
Ja siis me ümardame selle teise pilguga, kuidas mõned reklaamvara nendel päevadel peidavad end Microsofti protsesside taga, et nad ilmuksid protsessi Exploreris või Task Manageris õigustatud, kuigi nad tegelikult ei ole.
Kanaliotsingu uurimine
Nagu me mainisime, on Conduit'i otsingu kaaperdaja üks püsivamaid, kohutavamaid ja kohutavamaid asju, mida peaaegu iga teie sugulane arvatavasti arvutis on. Nad siduvad oma tarkvara varjuliste viisidega, kui nad saavad seda vabalt kasutada, ja paljudel juhtudel, isegi kui valite loobumise, paigaldatakse kaaperdaja ikka veel.
Conduit installib, mida nad nimetavad "Search Protect", mida nad väidavad, takistab pahavara muutmist teie brauseris. Nad ei maini, et see takistab teil ka oma brauseris muudatusi teha, kui te ei kasuta nende otsingu kaitsepaneeli nende muudatuste tegemiseks, mida enamik inimesi ei tea, kuna see on süsteemisalves maetud.
Conduit mitte ainult ei suunata kõiki teie otsinguid oma kohandatud Bing-leheküljele, vaid määrab selle teie koduleheks. Võib eeldada, et Microsoft maksab neile kogu selle liikluse eest Bingile, sest nad läbivad ka mõningaid ?pc = kanal argumentide tüüp päringu struktuuris.
Lõbus fakt: selle prügi taga olev ettevõte on väärt 1,5 miljardit dollarit ja JP Morgan investeeris neile 100 miljonit dollarit. Paha on kasumlik.
Conduit kaaperdab uut vahelehte ... aga kuidas?
Otsingu ja kodulehe kaaperdamine on igasuguse õelvara jaoks triviaalne - see on koht, kus Conduit astub kurja juurde ja kirjutab kuidagi ümber uue vahelehe, et sundida seda näitama Conduit, isegi kui muudate iga seadet.
Saate eemaldada kõik oma brauserid või isegi installida brauseri, mida te pole varem installinud, nagu Firefox või Chrome, ja Conduit suudab ikkagi uue vahekaardi lehekülje ära võtta.
Keegi peaks olema vanglas, kuid nad on ilmselt jaht.See ei võta palju geek oskusi lõpuks järeldada, et probleem on Search Protect rakendus töötab süsteemses salves. Tapa see protsess ja äkki avavad uued vahekaardid just nii, nagu brauseri tegija on ette näinud.
Aga kuidas täpselt seda teeb? Ühtki brauserit ei ole installitud. Pistikuid pole. Register on puhas. Kuidas nad seda teevad?
See on koht, kus pöördume protsessi Exploreri poole, et teha uurimist. Kõigepealt leiame loendis otsingu kaitsmise protsessi, mis on piisavalt lihtne, sest see on õigesti nimetatud, kuid kui te ei olnud kindel, võite alati akna avada ja kasutada väikeseid härja silmade ikooni binoklid, et välja selgitada, milline protsess kuulub aknasse.
Nüüd saate lihtsalt valida sobiva protsessi, mis antud juhul oli üks kolmest, mida Conduit installib Windows Service'i automaatselt. Kuidas ma teadsin, et see on Windowsi teenus, mis taaskäivitab selle? Kuna selle rea värv on loomulikult roosa. Selliste teadmistega relvastatud teenusega võin alati teenust peatada või kustutada (kuigi antud juhul võite eemaldada lihtsalt rakenduse Juhtpaneelilt desinstallimine).
Nüüd, kui olete selle protsessi valinud, saate kasutada käske CTRL + H või CTRL + D kiirklahve, et avada käepidemete vaade või DLL-i vaade, või saate seda kasutada menüükäsku Vaade -> Alumine riba vaade.
Märge: Windowsi maailmas on „käepide” täisarv, mida kasutatakse mälu ainulaadseks identifitseerimiseks nagu aken, avatud fail, protsess või paljud muud asjad. Igal teie arvutis avatud rakenduse aknas on näiteks unikaalne akna käepide, mida saab kasutada selle viitamiseks.
DLL-id või dünaamilised lingiraamatukogud on kompileeritud koodi jagatud tükid, mis salvestatakse eraldi failina, mida jagatakse mitme rakenduse vahel. Näiteks ei saa kõik rakendused kirjutada oma failide avamise / salvestamise dialoogi, vaid kõik rakendused saavad lihtsalt kasutada Windowsi pakutavat ühist dialoogikoodi failis comdlg32.dll.
Käepidemete loendi vaatamine mõneks minutiks tõi meid veidi lähemale, mis toimus, sest leidsime Internet Exploreri ja Chrome'i käepidemed, mis mõlemad on testisüsteemis avatud. Kindlasti oleme kinnitanud, et otsingu kaitsmine teeb midagi meie avatud brauseri akendega, kuid peame tegema veidi rohkem uuringuid, et selgitada välja täpselt, mida.
Järgmine asi, mida teha, on topeltklõps protsessis, et avada detailide vaade, ja seejärel lohistage vahekaardile Pilt, mis annab teile teavet käivitatava, käsurea ja isegi selle täieliku tee kohta. töökaust. Klõpsame nupul Explore, et tutvuda paigalduskataloogiga ja näha, mida seal veel peidetakse.
Huvitav! Me leidsime siin mitmeid DLL-faile, kuid mõnel imelikul põhjusel ei leitud ühtegi neist DLL-failidest DLL-i vaates otsingukaitseprotsessi protsessi, kui me seda varem vaatasime. See võib olla probleem.
Järgmine lehekülg: Lukustatud failide ja kaustadega tegelemine