Разбирането как работят диалоговете и опциите на Process Explorer е добре и добре, но какво да кажеш за това, как да го използваш за действително отстраняване на проблеми или за диагностициране на проблем? Днешният урок за Geek School ще се опита да ви помогне да научите как да направите точно това.
УЧИЛИЩНА НАВИГАЦИЯНе толкова отдавна, ние започнахме да разследваме всички видове зловреден софтуер и crapware, които се инсталират автоматично всеки път, когато не обръщате внимание при инсталирането на софтуера. Почти всяко парче свободен софтуер на пазара, включително и "реномираните", обединява ленти с инструменти, търсене на отвличане на ужас или рекламен софтуер, а някои от тях са трудни за отстраняване.
Видяхме много компютри от хора, които знаем, че разполагат с толкова шпионски и рекламен софтуер, че компютърът почти не се зарежда вече. Опитвайки се да заредите уеб браузъра, е почти невъзможно, тъй като целият софтуер за рекламиране и проследяване се конкурира за ресурси, за да открадне личната ви информация и да я продаде на най-продаващия.
Естествено, искахме да направим малко разследване за това как някои от тях работят и няма по-добро място да започнем от зловреден софтуер Conduit Search, който поиска стотици милиони компютри по целия свят. Тази невероятна ужас отвлича търсещата ви машина в браузъра ви, променя началната Ви страница и най-досадно превзема страницата ви с новия раздел, независимо от настройката на вашия браузър.
Ще започнем с това, след което ще ви покажем как да използвате Process Explorer за отстраняване на грешки, които говорят за заключени файлове и папки, които се използват.
И тогава ще го заобиколим с още един поглед към това, как някои рекламни са тези дни се крият зад процесите на Microsoft, така че те да изглеждат легитимни в Process Explorer или Task Manager, въпреки че те наистина не са.
Както споменахме, похитителят на търсенето на Conduit е едно от най-упоритите, ужасни и ужасни неща, които почти всички ваши роднини вероятно имат на компютъра си. Те обединяват софтуера си по сенчести начини с безплатния софтуер, който могат, и в много случаи, дори ако изберете да се откажете, похитителят все още ще бъде инсталиран.
Conduit инсталира това, което те наричат "Search Protect", което твърдят, че не позволява на злонамерения софтуер да прави промени в браузъра ви. Това, което те не споменават, е, че също така ви пречи да правите промени в браузъра си, освен ако не използвате панела им за търсене, за да направите тези промени, които повечето хора няма да знаят, тъй като са заровени в системната област.
Не само Conduit ще пренасочи всичките ви търсения към собствената си страница за Bing, но ще определи това като начална страница. Човек би трябвало да приеме, че Microsoft ги е плащал за целия този трафик към Бинг, тъй като те също преминават някои ? Бр = канал тип аргументи в заявката низ.
Забавен факт: компанията зад това парче боклук струва 1,5 милиарда долара, а JP Morgan инвестира 100 милиона долара в тях. Да бъдеш зло е печелившо.
Отвличането на търсенето и началната ви страница са тривиални за всеки злонамерен софтуер - това е, където Conduit засилва злото и по някакъв начин пренаписва новия раздел в табла, за да го принуди да покаже Conduit, дори ако промените всяка настройка.
Можете да деинсталирате всичките си браузъри или дори да инсталирате браузър, който не сте инсталирали преди, като Firefox или Chrome, а Conduit пак ще успее да отвлече страницата "Нов раздел".
Някой трябва да бъде в затвора, но вероятно е на яхта. Не е нужно много от гледна точка на уменията на Geek, за да се заключи, че проблемът е приложението Search Protect, което се изпълнява в системната област. Убийте този процес и внезапно новите ви раздели се отварят по начина, по който създателят на браузъра е предназначен.
Но как точно го прави? В нито един от браузърите няма инсталирани добавки или разширения. Няма плъгини. Регистърът е чист. Как го правят?
Тук се насочваме към Process Explorer, за да направим известно разследване. Първо, в списъка ще открием процеса "Защита за търсене", който е достатъчно лесен, защото е правилно наименуван, но ако не сте сигурни, винаги можете да отворите прозореца и да използвате иконата за малки бийтове до бинокли, за да разберете кой процес принадлежи на прозорец.
Сега можете просто да изберете подходящия процес, който в този случай е един от трите, които се изпълняват автоматично от услугата Windows, която Conduit инсталира. Откъде разбрах, че това е услуга на Windows, която го рестартира? Защото цветът на този ред е розов, разбира се. Въоръжени с тези знания, винаги мога да спра или да изтрия услугата (въпреки че в този конкретен случай, можете просто да деинсталирате от Деинсталиране на програми в контролния панел).
След като сте избрали този процес, можете да използвате клавишните комбинации CTRL + H или CTRL + D, за да отворите екрана Дръжки или изгледа DLL или можете да използвате менюто View -> View Lower Pane View, за да го направите.
Забележка:в света на Windows, "handle" е целочислена стойност, която се използва за уникално идентифициране на ресурс в паметта като прозорец, отворен файл, процес или много други неща. Всеки отворен прозорец на приложението на вашия компютър има уникална "дръжка на прозореца", например, която може да се използва за препращане.
DLLs, или динамични библиотеки връзка, са общи парчета компилиран код, които се съхраняват в отделен файл, за да бъде поделена между няколко приложения. Например, вместо да се налага всяко приложение пишат свои File Open / Запазване на диалогови прозорци, всички приложения, може просто да се възползват от обща диалогов код, предоставени от Windows в досието comdlg32.dll.
Гледайки през списъка с дръжки за няколко минути ни донесе малко по-близо до това, което се случва, тъй като сме намерили дръжки към Internet Explorer и Chrome, и двете от които са отворени в момента на тестовата система. Ние сме категорично потвърди, че Търсене Защитете се прави нещо за нашите отворени прозорци на браузъра, но ще трябва да направим малко повече изследвания, за да разбера какво точно.
Следващото нещо, което да направите е да щракнете два пъти върху процеса в списъка, за да се отвори екрана с подробните данни и след това обърнете към раздела на изображението, която ще ви даде информация за пълния път до изпълнимия файл, командния ред, а дори и на работна папка. Ще кликнете върху бутона Разгледайте да погледнете в инсталационната папка и да видим какво друго се крие там.
Интересно! Ние открихме няколко DLL файлове тук, но по някаква странна причина нито един от тези DLL файлове са изброени в изгледа на DLL за търсене Защитете процес, когато бяхме гледа към нея по-рано. Това може да е проблем.
Следваща страница: Справяне с заключените файлове и папки
