باستخدام عملية اكسبلورر لاستكشاف وتشخيص

إن فهم كيفية عمل مربعات الحوار وخيارات Process Explorer كلها جيدة وجيدة ، ولكن ماذا عن استخدامها لبعض عمليات استكشاف الأخطاء وإصلاحها الفعلية أو لتشخيص مشكلة؟ سيحاول درس Geek School اليوم مساعدتك في تعلم كيفية القيام بذلك.

ملاحة المدرسة

1. ما هي أدوات SysInternals وكيف يمكنك استخدامها?
2. فهم عملية إكسبلورر
3. باستخدام عملية اكسبلورر لاستكشاف وتشخيص
4. فهم عملية المراقبة
5. باستخدام عملية مراقبة لاستكشاف واكتشاف هاك التسجيل
6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
8. باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
10. التفاف واستخدام الأدوات معا

ليس منذ فترة طويلة ، بدأنا التحقيق في جميع أنواع البرامج الضارة والبرامج التي يتم تثبيتها تلقائيًا في أي وقت لا تنتبه فيه أثناء تثبيت البرنامج. تقريبًا كل قطعة مجانية في السوق ، بما فيها تلك "السمعة الحسنة" ، هي عبارة عن أشرطة أدوات مجمعة أو البحث عن الفظاعة أو البرامج الدعائية ، وبعضها يصعب تحرّي الخلل وإصلاحه.

لقد رأينا العديد من أجهزة الكمبيوتر من الأشخاص الذين نعرف أن لديهم الكثير من برامج التجسس وبرامج الإعلانات المتسللة المثبتة التي لا يكلفها جهاز الكمبيوتر حتى التحميل. إن محاولة تحميل متصفح الويب ، على وجه الخصوص ، أمر مستحيل تقريبًا ، حيث تتنافس جميع برامج الإعلانات المتعطشة والتتبعية على الموارد لسرقة معلوماتك الخاصة وبيعها لأعلى مزايد..

لذا ، بطبيعة الحال ، أردنا إجراء القليل من التحقيق في كيفية عمل بعض هذه الأعمال ، وليس هناك مكان أفضل للبدء منه من البرامج الخبيثة Conduit Search التي راح ضحيتها مئات الملايين من أجهزة الكمبيوتر في جميع أنحاء العالم. هذه الفظاعة الشنيعة تقوم باختطاف محرك البحث الخاص بك في متصفحك ، وتغيير الصفحة الرئيسية الخاصة بك ، والأكثر إثارة للضيق ، فهي تستولي على صفحة "علامة تبويب جديدة" الخاصة بك بغض النظر عن ما تم تعيينه على المتصفح.

سنبدأ بالنظر في ذلك ، وسنعرض لك بعد ذلك كيفية استخدام Process Explorer لاستكشاف الأخطاء التي تتحدث عن الملفات والمجلدات المقفلة المستخدمة.

ثم سنقوم بتجميعها بنظرة أخرى على كيفية قيام بعض البرامج الإعلانية في هذه الأيام بإخفاء نفسها وراء عمليات Microsoft بحيث تظهر شرعية في Process Explorer أو Task Manager ، على الرغم من أنها لا.

التحقيق في البحث عن قناة

كما ذكرنا ، خاطف البحث كوندويت هو واحد من أكثر الأشياء الثابتة ، فظيعة ، وفظيعة على الأرجح أن كل واحد من أقاربك قد يكون على جهاز الكمبيوتر الخاص بهم. يقوموا بتجميع برمجياتهم بطرق مشبوهة مع أي برامج مجانية يمكنهم ، وفي كثير من الحالات ، حتى إذا اخترت الانسحاب ، فسيظل الخاطف مثبتًا.

يثبت Conduit ما يسمونه "بحث الحماية" ، والذي يزعمون أنه يمنع البرامج الضارة من إجراء تغييرات على متصفحك. ما لا يذكرونه هو أنه يمنعك أيضًا من إجراء أي تغييرات على المتصفح الخاص بهم ما لم تستخدم لوحة Search Protect الخاصة بهم لإجراء هذه التغييرات ، والتي لن يعرفها معظم الأشخاص حيث يتم دفنها في علبة النظام.

لن تقوم Conduit فقط بإعادة توجيه جميع عمليات البحث الخاصة بك إلى صفحة Bing المخصصة الخاصة بها ، بل ستقوم بتعيينها كصفحة رئيسية. يجب على المرء أن يفترض أن مايكروسوفت تدفع لهم كل هذه الحركة إلى Bing ، حيث أنهم يمرون أيضا ?الكمبيوتر = قناة نوع الوسيطات في سلسلة الاستعلام.

حقيقة مرحة: إن الشركة وراء هذه القطعة من القمامة تبلغ قيمتها 1.5 مليار دولار و JP Morgan استثمرت 100 مليون دولار فيها. كون الشر هو مربح.

قناة خطف صفحة علامة تبويب جديدة ... لكن كيف?

اختطاف صفحة البحث والصفحة الرئيسية الخاصة بك هو أمر تافه لأي برامج ضارة - هذا هو المكان الذي يقوم فيه Conduit بتصعيد الشر ويقوم بطريقة ما بإعادة كتابة صفحة Tab الجديدة لإجباره على إظهار Conduit ، حتى إذا قمت بتغيير كل إعداد فردي.

يمكنك إلغاء تثبيت جميع المستعرضات الخاصة بك ، أو حتى تثبيت متصفح لم تقم بتثبيته من قبل ، مثل Firefox أو Chrome ، وسيظل Conduit قادراً على خطف صفحة علامة التبويب الجديدة.

يجب أن يكون أحدهم في السجن ، لكنهم على الأرجح على يخت.

لا يتطلب الأمر الكثير فيما يتعلق بمهارات المهوس في النهاية لاستنتاج أن المشكلة هي تطبيق Search Protect الذي يعمل في علبة النظام. اقتل هذه العملية ، وفجأة تفتح علامات التبويب الجديدة تمامًا بالطريقة التي صمم بها صانع المتصفح.

لكن كيف بالضبط يفعل هذا؟ لا توجد إضافات أو ملحقات مثبتة في أي من المتصفحات. لا توجد أي ملحقات. السجل نظيف. كيف يفعلون ذلك?

هذا هو المكان الذي ننتقل إلى Process Explorer للقيام ببعض التحقيق. أولاً ، سنجد عملية "حماية البحث" في القائمة ، وهو أمر سهل بما يكفي لأنه تم تسميتها بشكل صحيح ، ولكن إذا لم تكن متأكدًا ، يمكنك دائمًا فتح النافذة واستخدام الرمز الصغير للعين بجوار مناظير لمعرفة أي عملية تنتمي إلى نافذة.

يمكنك الآن ببساطة اختيار العملية المناسبة ، والتي كانت في هذه الحالة واحدة من الثلاثة التي يتم تشغيلها تلقائيًا بواسطة خدمة Windows التي يقوم Conduit بتثبيتها. كيف عرفت أنها خدمة Windows تعيد تشغيلها؟ لأن لون هذا الصف هو وردي ، بالطبع. مسلحًا بهذه المعرفة ، يمكنني دائمًا إيقاف الخدمة أو حذفها (على الرغم من أنه في هذه الحالة بالذات ، يمكنك ببساطة إلغاء التثبيت من Uninstall Programs in Control Panel).

الآن بعد أن حددت العملية ، يمكنك استخدام مفاتيح الاختصار CTRL + H أو CTRL + D لفتح طريقة العرض "مؤشرات" أو طريقة عرض "مكتبة الارتباط الديناميكي" ، أو يمكنك استخدام قائمة "عرض" - "عرض الجزء السفلي" للقيام بذلك.

ملحوظة: في عالم Windows ، يعتبر "المقبض" قيمة عددية تُستخدم لتمييز مورد في الذاكرة بشكل فريد مثل نافذة ، أو ملف مفتوح ، أو عملية ، أو أشياء أخرى كثيرة. تحتوي كل نافذة تطبيق مفتوحة على جهاز الكمبيوتر الخاص بك على "مقبض نافذة" فريد ، على سبيل المثال ، يمكن استخدامه للإشارة إليه.

مكتبات الارتباط الحيوي (DLL) أو مكتبات الارتباطات الديناميكية هي أجزاء مشتركة من التعليمات البرمجية المترجمة التي يتم تخزينها في ملف منفصل لتتم مشاركتها بين تطبيقات متعددة. على سبيل المثال ، بدلاً من أن يقوم كل تطبيق بكتابة مربعات حوار فتح / حفظ الملفات الخاصة به ، يمكن لكافة التطبيقات ببساطة استخدام رمز الحوار العام الذي يوفره Windows في ملف comdlg32.dll.

لقد جعلنا الاطلاع على قائمة المقابض لبضع دقائق أقرب قليلاً إلى ما كان يحدث ، لأننا وجدنا مقابض إلى Internet Explorer و Chrome ، وكلاهما مفتوح حاليًا على نظام الاختبار. لقد أكدنا بالتأكيد أن Search Protect تقوم بشيء ما في نوافذ المتصفح المفتوح ، ولكننا سنحتاج إلى إجراء المزيد من الأبحاث لمعرفة ما.

ما عليك فعله بعد ذلك هو النقر نقرًا مزدوجًا فوق العملية في القائمة لفتح عرض التفاصيل ، ثم الانتقال إلى علامة التبويب "صورة" ، والتي ستمنحك معلومات حول المسار الكامل إلى الملف التنفيذي ، وخط الأمر ، وحتى مجلد العمل. سننقر على زر استكشاف لإلقاء نظرة على مجلد التثبيت ونرى ما يخفيه هناك.

مثير للإعجاب! لقد وجدنا عددا من ملفات DLL هنا ، ولكن لسبب غريب كان يتم سرد أي من هذه الملفات DLL في طريقة عرض DLL لعملية البحث حماية عندما كنا ننظر إليه في وقت سابق. هذا يمكن أن يكون مشكلة.

الصفحة التالية: التعامل مع الملفات والمجلدات المقفلة