Как сделать

Использование Process Explorer для устранения неполадок и диагностики

SysInternals 3

Понимание того, как работают диалоги и параметры Process Explorer, — все хорошо, но как насчет того, чтобы использовать его для какого-то фактического устранения неполадок или для диагностики проблемы? Сегодняшний урок Geek School поможет вам научиться делать именно это.

Не так давно мы начали исследовать все виды вредоносного и программного обеспечения, которое устанавливается автоматически каждый раз, когда вы не обращаете внимания при установке программного обеспечения. Почти все бесплатные программные продукты на рынке, включая «авторитетные», включают в себя панели инструментов, ужасный поиск или рекламное ПО, и некоторые из них трудно устранить.

Мы видели много компьютеров от людей, которые, как мы знаем, установили столько шпионского и рекламного ПО, что ПК даже почти не загружается. В частности, попытка загрузить веб-браузер практически невозможна, поскольку все рекламное и отслеживающее программное обеспечение конкурирует за ресурсы, позволяющие украсть вашу личную информацию и продать ее тем, кто предложит самую высокую цену.

Естественно, мы хотели провести небольшое исследование того, как некоторые из них работают, и нет лучшего места для начала, чем вредоносная программа Conduit Search, которая унесла сотни миллионов компьютеров по всему миру. Этот гнусный ужас захватывает вашу поисковую систему в вашем браузере, меняет вашу домашнюю страницу, и, что самое неприятное, она захватывает вашу страницу новой вкладки, независимо от того, какой браузер установлен.

Мы начнем с рассмотрения этого, а затем покажем, как использовать Process Explorer для устранения ошибок, связанных с заблокированными файлами и папками, которые используются.

И затем мы закончим с другим взглядом на то, как некоторые рекламные программы в наши дни прячутся за процессами Microsoft, поэтому они выглядят законными в Process Explorer или Task Manager, хотя на самом деле это не так.

Исследование вредоносного ПО для поиска в кабелепроводе

Как мы уже упоминали, поисковик-угонщик Conduit — это одна из самых стойких, ужасных и ужасных вещей, которые почти каждый из ваших родственников, вероятно, имеет на своем компьютере. Они связывают свое программное обеспечение неясными способами с любым бесплатным программным обеспечением, которое они могут, и во многих случаях, даже если вы решите отказаться, угонщик все равно будет установлен.

Conduit устанавливает то, что они называют «Search Protect», что, по их утверждению, не позволяет вредоносным программам вносить изменения в ваш браузер. Чего они не упоминают, так это того, что он также не позволяет вам вносить какие-либо изменения в их браузер, если вы не используете их панель Search Protect для внесения этих изменений, о которых большинство людей не узнают, так как они находятся в системном трее.

Conduit не только перенаправит все ваши поиски на собственную страницу Bing, но и сделает ее домашней страницей. Можно предположить, что Microsoft платит им за весь этот трафик Bing, так как они также передают в строке запроса аргументы типа ?

Интересный факт: компания, стоящая за этим куском мусора, стоит 1,5 миллиарда долларов, а JP Morgan вложил в них 100 миллионов долларов. Быть злом выгодно.

Conduit захватывает новую вкладку … Но как?

Взлом вашей поисковой и домашней страницы является тривиальным для любого вредоносного ПО. Именно здесь Conduit усиливает зло и каким-то образом переписывает страницу «Новая вкладка», чтобы заставить ее отображать Conduit, даже если вы меняете все настройки.

Вы можете удалить все свои браузеры или даже установить браузер, который вы не устанавливали ранее, например Firefox или Chrome, и Conduit все равно сможет захватить страницу «Новая вкладка».

Кто-то должен быть в тюрьме, но они, вероятно, на яхте.

С точки зрения навыков гиков не требуется больших усилий, чтобы в конечном итоге сделать вывод, что проблема заключается в приложении Search Protect, запущенном в системном трее. Завершите этот процесс, и вдруг ваши новые вкладки откроются именно так, как задумал создатель браузера.

Но как именно это происходит? В любом из браузеров не установлены надстройки или расширения. Там нет никаких плагинов. Реестр чистый. Как они это делают?

Здесь мы обращаемся к Process Explorer, чтобы провести некоторое исследование. Во-первых, мы найдем процесс Search Protect в списке, который достаточно прост, потому что он имеет правильное имя, но если вы не уверены, вы всегда можете открыть окно и использовать маленький значок «бычий глаз» рядом с бинокль, чтобы выяснить, какой процесс принадлежит окну.

Теперь вы можете просто выбрать соответствующий процесс, который в данном случае был одним из трех, которые автоматически запускаются службой Windows, которую устанавливает Conduit. Как я узнал, что служба Windows перезапускает ее? Потому что цвет этой строки розовый, конечно. Вооружившись этим знанием, я всегда мог остановить или удалить службу (хотя в данном конкретном случае вы можете просто удалить ее из раздела «Удаление программ» на панели управления).

Теперь, когда вы выбрали процесс, вы можете использовать сочетания клавиш CTRL + H или CTRL + D, чтобы открыть представление «Ручки» или представление DLL, или вы можете использовать меню «Вид» -> «Вид нижней панели», чтобы сделать это.

Примечание: в мире Windows «дескриптор» — это целочисленное значение, которое используется для уникальной идентификации ресурса в памяти, такого как окно, открытый файл, процесс или многие другие вещи. Каждое открытое окно приложения на вашем компьютере имеет, например, уникальный «дескриптор окна», который можно использовать для ссылки на него.

Библиотеки DLL, или библиотеки динамических ссылок, являются общими частями скомпилированного кода, которые хранятся в отдельном файле для совместного использования несколькими приложениями. Например, вместо того, чтобы каждое приложение записывало свои собственные диалоги открытия / сохранения файлов, все приложения могут просто использовать общий код диалога, предоставленный Windows в файле comdlg32.dll.

Просмотр списка маркеров в течение нескольких минут приблизил нас к тому, что происходило, потому что мы нашли маркеры для Internet Explorer и Chrome, которые в настоящее время открыты в тестовой системе. Мы определенно подтвердили, что Search Protect что-то делает с нашими открытыми окнами браузера, но нам нужно еще немного изучить, чтобы выяснить, что именно.

Следующее, что нужно сделать, — это дважды щелкнуть процесс в списке, чтобы открыть представление сведений, а затем перейти на вкладку «Изображение», которая предоставит вам информацию о полном пути к исполняемому файлу, командной строке и даже рабочая папка. Мы нажмем кнопку «Исследовать», чтобы взглянуть на папку установки и посмотреть, что там еще скрывается.

Интересный! Мы нашли здесь несколько DLL-файлов, но по какой-то странной причине ни один из этих DLL-файлов не был указан в представлении DLL для процесса Search Protect, когда мы рассматривали его ранее. Это может быть проблемой.

В любое время, когда вы захотите узнать, используется ли файл DLL в настоящее время каким-либо приложением в вашей системе, вы можете открыть панель поиска, перейдя в меню «Поиск», нажав сочетание клавиш CTRL + F или просто щелкнув значок бинокля на панели инструментов. Теперь введите часть имени DLL или даже полное имя, если хотите.

Мы решили искать только начало, «SPVC», так как это была общая связь между ними, и, конечно же, похоже, что эти DLL загружаются непосредственно в каждый из процессов браузера, запущенных на нашем компьютере.

Нажав на один из пунктов в списке и переключившись на страницу «Темы», мы подтвердили то, что нас беспокоило. И в Chrome, и в Internet Explorer были запущены потоки с использованием файлов SPVC32.dll или SPVC64.dll из вредоносной программы Search Protect, и именно так они угоняли нашу новую вкладку — не изменяя настройки, а угоняя браузер изнутри.

Примечание. В Windows поток — это то, что операционная система выделяет для загрузки времени процессора. Процесс в Windows — это то, о чем мы привыкли думать как гики и системные администраторы, но технически потоки — это единственное, что работает в Windows, а не процессы. Некоторые процессы могут иметь только один поток выполнения, но другие могут иметь много потоков, которые все работают отдельно друг от друга, обычно взаимодействуя с каким-то внутрипроцессным механизмом связи.

Вы также можете дважды щелкнуть по любому из потоков, чтобы увидеть полный стек выполнения, что может быть полезно, чтобы увидеть, какие функции вызываются, и попытаться выяснить, в чем проблема.

Вам может быть интересно, как приложению Search Protect удалось заставить Google Chrome загружать эту DLL, и ответ заключается в том, что Windows предоставляет функцию под названием DLL Injection. Процесс может внедрить DLL в другой процесс, а затем перехватить определенные функции API. Вот как определенные приложения переопределяют функции Windows или функции других приложений. Это очень сложная тема, в которую мы определенно не можем войти в этот урок, но если вы действительно хотите прочитать больше, вы можете проверить это руководство .

Стоит также отметить, что вы можете увидеть загрузку ЦП для каждого потока, углубившись в этот уровень детализации, что может быть очень полезно при устранении неполадок в приложении с плагинами. Вы можете использовать это, чтобы выяснить, что определенный файл DLL занимает слишком много процессорного времени, а затем провести некоторое исследование того, к чему принадлежит этот компонент.

Работа с заблокированными файлами или папками

Поскольку маловероятно, что вы будете постоянно исследовать вредоносное ПО, также полезно использовать Process Explorer для других задач, например, для работы с теми «Используемыми» диалоговыми окнами, которые вы можете в любое время пытаться удалить, переместить или изменить файл или папка, которая используется другим процессом, особенно если вы не уверены, какой процесс его блокирует.

Когда вы получаете сообщение об ошибке, похожее на это, просто перейдите в Process Explorer, откройте поиск с помощью сочетания клавиш CTRL + F или значка, а затем введите имя папки, указанной выше (или более полный описательный путь, если имя очень расплывчатый).

Вы очень быстро увидите процесс в списке, в котором открыт файл или папка, и вы можете дважды щелкнуть по нему, чтобы идентифицировать процесс в списке.

Ваша немедленная реакция может заключаться в том, чтобы просто закрыть этот процесс, но вам не обязательно делать это. Вы также можете щелкнуть правой кнопкой мыши файл или папку в списке дескрипторов (используйте опцию CTRL + H, чтобы вызвать список дескрипторов) и выбрать опцию «Закрыть дескриптор». Этот ресурс теперь разблокирован!

Примечание. Если вы что-то удаляете, это идеальный вариант, но если вы просто пытаетесь отредактировать или переместить этот элемент, вам, вероятно, следует открыть приложение-нарушитель и разобраться с ним там, чтобы не потерять данные.

Исследование процессов, которые выглядят безопасными, но не являются

В ходе нашего исследования вредоносных программ мы заметили еще одну проблему, которая становится все более распространенной, поэтому целесообразно следить за ней в будущем. Что это за проблема? Вредоносное ПО скрывается за законными процессами Windows и хорошо работает.

Проблема заключается в служебной программе Windows rundll32.exe, которую можно использовать для произвольного запуска функций из файлов DLL. Поскольку эта утилита подписана Microsoft, она отображается в списке как совершенно законный процесс, но в действительности они просто переносят весь свой код вредоносного / рекламного ПО в файл .DLL вместо файла .EXE, а затем вместо этого загрузите вредоносную программу с помощью rundll32.exe. На самом деле, если вы видите, что rundll32.exe работает как «собственный процесс» в голубом цвете, показанном ниже, это почти всегда то, что не должно выполняться.

В приведенном ниже примере вы можете видеть, что, хотя мы использовали функцию Verified Signer для проверки этого элемента, когда мы наводим указатель мыши на него и просматриваем полный путь, он фактически загружает DLL, которая оказывается частью рекламного ПО. продукт.

Примечание: прежде чем вы начнете кричать о запуске антивирусной проверки, мы заметим, что мы сделали, и ничего не получилось. Многие из этих программных, рекламных и шпионских программ игнорируются антивирусными утилитами.

Двойной щелчок, чтобы открыть подробности, показывает еще одну проблему, и мы также можем увидеть каталог, в котором заканчивается вредоносное ПО, которое мы будем использовать для дальнейшего изучения.

Внутри этого каталога мы нашли несколько файлов, которые постоянно обновлялись в фоновом режиме.

Остальное расследование привело к появлению некоторых других инструментов, которые не были SysInternals, и о которых мы, вероятно, расскажем позже, но достаточно сказать, что это всего лишь часть вредоносного ПО, работавшего в сочетании с другим приложением для работы с программным обеспечением. ,

Важным моментом здесь является то, что вредоносные программы могут скрываться за легитимными исполняемыми файлами Windows, поэтому не забывайте следить за чем-либо подобным.

Далее

Оставайтесь с нами завтра, чтобы еще больше узнать о SysInternals, поскольку мы покажем вам, как использовать утилиту Process Monitor для отслеживания того, что приложения на самом деле делают за кулисами. Это откроет глаза.

Похожие посты
Как сделать

Как получить возмещение за покупки в iTunes или App Store

Как сделать

Поверхностное перо не работает? Вот как это исправить

Как сделать

Как настроить и использовать Fire TV Recast

Как сделать

Как изменить рингтон по умолчанию на вашем iPhone