Menggunakan Process Explorer untuk Mengatasi Masalah dan Diagnosis

Memahami bagaimana dialog dan opsi Proses Explorer berfungsi dengan baik dan bagus, tetapi bagaimana menggunakannya untuk pemecahan masalah aktual atau untuk mendiagnosis masalah? Pelajaran Sekolah Geek hari ini akan mencoba dan membantu Anda belajar bagaimana melakukan hal itu.

NAVIGASI SEKOLAH

1. Apa Alat SysInternals dan Bagaimana Cara Anda Menggunakannya?
2. Memahami Proses Explorer
3. Menggunakan Process Explorer untuk Mengatasi Masalah dan Diagnosis
4. Memahami Proses Monitor
5. Menggunakan Monitor Proses untuk Memecahkan Masalah dan Menemukan Hacks Registry
6. Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
7. Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
8. Menggunakan PsTools untuk Mengontrol PC Lain dari Baris Perintah
9. Menganalisis dan Mengelola File, Folder, dan Drive Anda
10. Membungkus dan Menggunakan Alat Bersama

Belum lama ini, kami mulai menyelidiki semua jenis malware dan crapware yang terinstal secara otomatis kapan saja Anda tidak memperhatikan saat menginstal perangkat lunak. Hampir setiap bagian freeware di pasaran, termasuk yang “terkemuka”, adalah bundling toolbar, pencarian pembajakan yang mengerikan, atau adware, dan beberapa di antaranya sulit untuk dipecahkan..

Kami telah melihat banyak komputer dari orang-orang yang kami tahu telah menginstal begitu banyak spyware dan adware sehingga PC bahkan tidak dapat memuat lagi. Mencoba memuat peramban web, khususnya, hampir tidak mungkin, karena semua perangkat lunak adware dan pelacakan bersaing untuk sumber daya untuk mencuri informasi pribadi Anda dan menjualnya kepada penawar tertinggi.

Jadi tentu saja, kami ingin melakukan sedikit penyelidikan tentang bagaimana beberapa dari ini bekerja, dan tidak ada tempat yang lebih baik untuk memulai daripada malware Conduit Search yang telah mengklaim ratusan juta komputer di seluruh dunia. Kesedihan jahat ini membajak mesin pencari Anda di peramban, mengubah beranda, dan yang paling menjengkelkan, ia mengambil alih laman Tab Baru Anda, apa pun peramban yang diatur untuk.

Kami akan mulai dengan melihat itu, dan kemudian kami akan menunjukkan kepada Anda bagaimana menggunakan Process Explorer untuk memecahkan kesalahan yang berbicara tentang file dan folder terkunci yang sedang digunakan.

Dan kemudian kita akan memperbaikinya dengan melihat lagi bagaimana beberapa adware hari ini bersembunyi di balik proses Microsoft sehingga mereka tampak sah dalam Process Explorer atau Task Manager, meskipun sebenarnya tidak.

Investigasi Malware Search Conduit

Seperti yang kami sebutkan, pembajak pencarian Conduit adalah salah satu hal yang paling gigih, mengerikan, dan mengerikan yang mungkin dimiliki hampir setiap kerabat Anda di komputer mereka. Mereka membundel perangkat lunak mereka dengan cara yang teduh dengan freeware apa pun yang mereka bisa, dan dalam banyak kasus, bahkan jika Anda memilih untuk keluar, pembajak masih akan diinstal.

Conduit menginstal apa yang mereka sebut "Search Protect", yang mereka klaim mencegah malware membuat perubahan pada browser Anda. Apa yang tidak mereka sebutkan adalah bahwa hal itu juga mencegah Anda membuat perubahan apa pun pada peramban mereka kecuali jika Anda menggunakan panel Search Protect mereka untuk membuat perubahan itu, yang kebanyakan orang tidak akan mengetahuinya karena itu terkubur di baki sistem.

Conduit tidak hanya akan mengarahkan ulang semua pencarian Anda ke halaman Bing kustom mereka sendiri, itu akan menetapkan itu sebagai halaman rumah Anda. Orang harus berasumsi bahwa Microsoft membayar mereka untuk semua lalu lintas ke Bing, karena mereka juga melewati beberapa ?pc = saluran jenis argumen dalam string kueri.

Fakta yang menyenangkan: perusahaan di balik potongan sampah ini bernilai 1,5 Miliar dolar dan JP Morgan menginvestasikan $ 100 juta ke dalamnya. Menjadi jahat itu menguntungkan.

Conduit Membajak Halaman Tab Baru ... Tapi Bagaimana?

Membajak halaman pencarian dan beranda Anda sepele untuk malware apa pun - ini adalah tempat Conduit meningkatkan kejahatan dan entah bagaimana menulis ulang halaman Tab Baru untuk memaksanya menampilkan Conduit, bahkan jika Anda mengubah setiap pengaturan tunggal.

Anda dapat menghapus semua peramban, atau bahkan memasang peramban yang belum pernah Anda instal sebelumnya, seperti Firefox atau Chrome, dan Conduit akan tetap berhasil membajak halaman Tab Baru.

Seseorang harus berada di penjara, tetapi mereka mungkin berada di kapal pesiar.

Tidak perlu banyak keterampilan geek untuk akhirnya menyimpulkan bahwa masalahnya adalah aplikasi Search Protect yang berjalan di baki sistem. Matikan proses itu, dan tiba-tiba tab baru Anda terbuka seperti yang diinginkan pembuat peramban.

Tetapi bagaimana tepatnya, hal itu dapat melakukan ini? Tidak ada pengaya atau ekstensi yang dipasang di salah satu browser. Tidak ada plugin. Registri bersih. Bagaimana mereka melakukannya?

Di sinilah kita beralih ke Process Explorer untuk melakukan investigasi. Pertama, kita akan menemukan proses Search Protect dalam daftar, yang cukup mudah karena dinamai dengan benar, tetapi jika Anda tidak yakin, Anda selalu dapat membuka jendela dan menggunakan ikon mata sapi jantan kecil di sebelah teropong untuk mencari tahu proses mana yang dimiliki jendela.

Sekarang Anda cukup memilih proses yang sesuai, yang dalam hal ini adalah salah satu dari tiga yang berjalan secara otomatis oleh Layanan Windows yang diinstal Conduit. Bagaimana saya tahu bahwa itu adalah Layanan Windows yang me-restart itu? Karena warna baris itu merah muda, tentu saja. Berbekal pengetahuan itu, saya selalu bisa menghentikan atau menghapus layanan (meskipun dalam kasus khusus ini, Anda cukup menghapus instalasi dari Uninstall Programs di Control Panel).

Sekarang setelah Anda memilih prosesnya, Anda dapat menggunakan tombol pintas CTRL + H atau CTRL + D untuk membuka tampilan Handles atau tampilan DLL, atau Anda dapat menggunakan menu View -> Lower Pane View untuk melakukannya..

catatan: di dunia Windows, "pegangan" adalah nilai integer yang digunakan untuk secara unik mengidentifikasi sumber daya dalam memori seperti jendela, file terbuka, proses, atau banyak hal lainnya. Setiap jendela aplikasi yang terbuka di komputer Anda memiliki "pegangan jendela" yang unik, misalnya, yang dapat digunakan untuk merujuknya.

DLL, atau pustaka tautan dinamis, adalah bagian kode yang dikompilasi bersama yang disimpan dalam file terpisah untuk dibagikan di antara banyak aplikasi. Misalnya, alih-alih meminta setiap aplikasi menulis dialog Buka / Simpan File sendiri, semua aplikasi dapat menggunakan kode dialog umum yang disediakan oleh Windows di file comdlg32.dll.

Melihat daftar pegangan selama beberapa menit membawa kami sedikit lebih dekat dengan apa yang sedang terjadi, karena kami menemukan pegangan untuk Internet Explorer dan Chrome, yang keduanya saat ini terbuka pada sistem pengujian. Kami benar-benar telah mengkonfirmasi bahwa Search Protect sedang melakukan sesuatu pada jendela browser kami yang terbuka, tetapi kami perlu melakukan sedikit riset lebih lanjut untuk mengetahui dengan tepat apa yang harus dilakukan..

Hal selanjutnya yang harus dilakukan adalah klik dua kali proses dalam daftar untuk membuka tampilan detail, dan kemudian balik ke tab Gambar, yang akan memberi Anda informasi tentang path lengkap ke executable, baris perintah, dan bahkan folder kerja. Kami akan mengklik tombol Jelajahi untuk melihat folder instalasi dan melihat apa lagi yang bersembunyi di sana.

Menarik! Kami telah menemukan sejumlah file DLL di sini, tetapi untuk beberapa alasan aneh, tidak satu pun dari file DLL ini tercantum dalam tampilan DLL untuk proses Search Protect ketika kami melihatnya sebelumnya. Ini bisa jadi masalah.

Halaman Berikutnya: Berurusan dengan File dan Folder Terkunci