ШКОЛЬНАЯ НАВИГАЦИЯ
- Каковы инструменты SysInternals и как их использовать?
- Понимание Process Explorer
- Использование Process Explorer для устранения неполадок и диагностики
- Понимание Process Monitor
- Использование Process Monitor для устранения неполадок и поиска файлов реестра
- Использование автозапуска для работы с процессами запуска и вредоносными программами
- Использование BgInfo для отображения информации о системе на рабочем столе
- Использование PsTools для управления другими ПК из командной строки
- Анализ и управление файлами, папками и дисками
- Объединение и использование инструментов вместе
Не так давно мы начали расследование всех видов вредоносных программ и crapware, которые устанавливаются автоматически в любое время, когда вы не обращаете внимания при установке программного обеспечения. Почти каждая часть бесплатного программного обеспечения на рынке, включая «авторитетные», объединяет панели инструментов, захватывает ужасы или рекламное ПО, а некоторые из них трудно устранить.
Мы видели много компьютеров от людей, которые, как мы знаем, содержат столько шпионских и рекламных программ, что ПК почти не загружает. Попытка загрузить веб-браузер, особенно, практически невозможна, поскольку все рекламное ПО и программное обеспечение для отслеживания конкурируют за ресурсы, чтобы украсть вашу личную информацию и продать ее самой высокой цене.
Поэтому, естественно, мы хотели немного рассказать о том, как некоторые из них работают, и нет лучшего места для начала, чем вредоносное ПО Conduit Search, которое востребовало сотни миллионов компьютеров по всему миру. Эта гнусная ужас захватывает вашу поисковую систему в вашем браузере, изменяет вашу домашнюю страницу и, что очень досадно, она берет на себя вкладку «Новая вкладка» независимо от вашего браузера.
Мы начнем с рассмотрения этого вопроса, а затем мы покажем вам, как использовать Process Explorer для устранения неполадок, связанных с заблокированными файлами и папками, которые используются.
И затем мы обсудим это с другим взглядом на то, как некоторое рекламное ПО в наши дни скрывается за процессами Microsoft, поэтому они кажутся законными в Process Explorer или диспетчере задач, хотя на самом деле это не так.
Изучение вредоносного ПО для поиска кабелепроводов
Как мы уже упоминали, угонщик Conduit search является одним из самых настойчивых, ужасных и ужасных вещей, которые почти каждый из ваших родственников, вероятно, имеет на своем компьютере. Они связывают свое программное обеспечение в тени с любыми бесплатными функциями, которые они могут, и во многих случаях, даже если вы выберете отказ, угонщик будет по-прежнему установлен.
Conduit устанавливает то, что они называют «Search Protect», которое, как они утверждают, предотвращает внесение изменений в ваш браузер. Они не упоминают, что это также мешает вам вносить какие-либо изменения в свой браузер, если вы не используете панель «Защита для поиска», чтобы внести те изменения, о которых большинство людей не узнает, так как они зарыты в системный лоток.
Не только Conduit перенаправит все ваши поиски на собственную пользовательскую страницу Bing, она установит это как вашу домашнюю страницу. Можно было бы предположить, что Microsoft платит им за весь этот трафик до Bing, так как они также передают некоторые ? Рс = трубопровод тип аргументов в строке запроса.
Интересный факт: компания, стоящая за этим куском мусора, стоит 1,5 миллиарда долларов, а JP Morgan вложила в них 100 миллионов долларов. Быть злым - выгодно.
Conduit захватывает новую страницу вкладки … Но как?
Увлечение вашего поиска и домашней страницы тривиально для любого вредоносного ПО - здесь Conduit активизирует зло и как-то перезаписывает страницу «Новая вкладка», чтобы заставить ее показывать Conduit, даже если вы меняете каждую настройку.
Вы можете удалить все ваши браузеры или даже установить браузер, который раньше не был установлен, например Firefox или Chrome, и Conduit все равно сможет заблокировать страницу «Новая вкладка».
Здесь мы обращаемся к Process Explorer, чтобы провести некоторое расследование. Во-первых, мы найдем процесс Search Protect в списке, который достаточно прост, потому что он правильно назван, но если вы не уверены, вы всегда можете открыть окно и использовать значок маленького бычьего глаза рядом с бинокль, чтобы выяснить, какой процесс принадлежит окну.
Теперь, когда вы выбрали этот процесс, вы можете использовать сочетания клавиш CTRL + H или CTRL + D, чтобы открыть представление «Ручки» или представление DLL, или вы можете использовать меню View -> Lower Pane View для этого.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Просматривая список ручек в течение нескольких минут, мы немного приблизились к тому, что происходило, потому что мы нашли ручки для Internet Explorer и Chrome, оба из которых в настоящее время открыты в тестовой системе. Мы определенно подтвердили, что Search Protect делает что-то в наших открытых окнах браузера, но нам нужно сделать немного больше исследований, чтобы выяснить, что именно.
