SKOLAS NAVIGĀCIJA
- Kādi ir SysInternals rīki un kā jūs tos izmantot?
- Izpratne par Process Explorer
- Problēmu novēršana, lai novērstu traucējumus un diagnosticētu
- Izpratne par procesa monitoru
- Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks
- Autoruns izmantošana, lai veiktu starta procesus un ļaunprogrammatūru
- Izmantojot BgInfo, lai parādītu sistēmas informāciju darbvirsmā
- Izmantojot PsTools, lai kontrolētu citus datorus no komandrindas
- Failu, mapju un disku analīze un pārvaldīšana
- Iesaiņošana un instrumentu lietošana kopā
Ne jau sen mēs sākām izmeklēt dažādas ļaunprātīgas programmatūras un crapware veidus, kas tiek instalēti automātiski jebkurā laikā, kad jūs nepievērš uzmanību, instalējot programmatūru. Gandrīz katrs bezmaksas programmatūras gabals tirgū, ieskaitot "cienījamu", ir komplektā ar rīkjoslām, meklēt nolaupīšanas šausmi vai adware, un dažiem no tiem ir grūti novērst problēmas.
Mēs esam redzējuši daudz datoru no cilvēkiem, kurus mēs zinām, ka ir tik daudz spiegprogrammatūru un adware, ka dators gandrīz pat slodzes vairs. Jo īpaši mēģinājums ielādēt interneta pārlūku ir gandrīz neiespējams, jo visa reklamēšanas un izsekošanas programmatūra konkurē ar resursiem, lai nozagtu jūsu privāto informāciju un to pārdotu augstākā pretendentam.
Tāpēc, protams, mēs gribējām mazliet izpētīt to, kā daži no šiem darbiem ir, un nav labākas vietas, kur sākt izmantot, salīdzinot ar trafiku meklēšanas ļaunprātīgo programmatūru, kurā ir apgalvoti simtiem miljonu datoru visā pasaulē. Šī nežēlīgā ļaunprātība pietrūkst meklētājprogrammai jūsu pārlūkprogrammā, maina jūsu mājas lapu un visvairāk kaitinoši, tā pārņem jūsu lapu Jauna cilne neatkarīgi no tā, kāda ir jūsu pārlūkprogramma.
Mēs sāksim skatīties uz to, un pēc tam mēs parādīsim jums, kā izmantot Procesoru, lai novērstu kļūdas, kas runā par bloķētajiem lietojumprogrammām un mapēm.
Un tad mēs to izvērsīsim ar citu izskatu par to, kā šajās dienās dažas adware aiz slēpjas aiz Microsoft procesiem, lai tie kļūtu legitēti procesa programmā vai uzdevumu pārvaldniekā, lai gan tie patiesībā nav.
Kabeļu meklēšanas malware izpēte
Kā jau minējām, kanāla meklēšanas nolaupītājs ir viena no visienestīgākajām, šausmīgākajām un briesmīgākajām lietām, kuras gandrīz ikviens no jūsu radiniekiem droši vien ir savā datorā. Viņi iesaiņo programmatūru savā veidā, izmantojot jebkuru brīvo programmatūru, kuru viņi var izmantot, un daudzos gadījumos, pat ja izvēlaties atteikties, nolaupītājs joprojām tiks instalēts.
Cauruļvads instalē to, ko viņi sauc par "Search Protect", ko viņi apgalvo, novērš ļaunprātīgu programmatūru no jūsu pārlūkprogrammas izmaiņu veikšanas. Tas, ko viņi nemin, ir tas, ka tas arī liedz veikt izmaiņas pārlūkprogrammā, ja vien jūs neizmantojat sava paneļa "Search Protect", lai veiktu šīs izmaiņas, par kurām lielākā daļa cilvēku nezina, jo tā ir apglabāta sistēmas teknē.
Ne tikai Conduit novirzīs visus jūsu meklējumus uz savu pielāgoto Bing lapu, tas iestatīs to kā jūsu mājas lapu. Varētu pieņemt, ka Microsoft maksā viņiem par visu šo datplūsmu uz Bing, jo tie arī iet dažas ? pc = conduit vaicājuma virknē esošo argumentu tips.
Jautri fakts: šī atkritumu gabala uzņēmums ir vērts 1,5 miljardu dolāru vērtībā, un JP Morgan ieguldīja 100 miljonus dolāru. Būt ļaunumam ir izdevīgi.
Cauruļvads Hijacks jaunās cilnes lapu … Bet kā?
Jūsu meklēšanas un sākumlapas nolaupīšana ir nenozīmīga attiecībā uz jebkādu ļaunprātīgu programmatūru - tieši šeit Conduit paātrina ļaunumu un kaut kā pārraksta jaunās cilnes lapu, lai liktu tai rādīt kanālu, pat ja maināt katru iestatījumu.
Jūs varat atinstalēt visas savas pārlūkprogrammas vai pat instalēt pārlūkprogrammu, kuru pirms jums iepriekš neesat instalējis, piemēram, Firefox vai Chrome, un Conduit joprojām varēs uzlauzties jaunās cilnes lapā.
Šeit mēs vēršamies uz Process Explorer, lai veiktu kādu izmeklēšanu. Pirmkārt, sarakstā atrodamies meklēšanas aizsardzības process, kas ir viegli, jo tas ir pareizi nosaukts, bet, ja neesat pārliecināts, vienmēr varat atvērt logu un izmantot mazo buļļu acu ikonu blakus binokļi, lai noskaidrotu, kurš process pieder logam.
Tagad, kad esat izvēlējies procesu, varat izmantot CTRL + H vai CTRL + D īsinājumtaustiņus, lai atvērtu skatu Rokturi vai DLL, vai arī varat to izmantot, lai veiktu izvēlni Skats -> apakšējā paneļa skats.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Dažas minūtes, aplūkojot roktura sarakstu, mums nedaudz tuvinājās, kas notika, jo mēs atradām rokturus pārlūkprogrammām Internet Explorer un Chrome, kuras abas pašlaik ir atvērtas testa sistēmā. Mēs esam noteikti apstiprinājuši, ka "Search Protect" kaut ko dara ar mūsu atvērtajiem pārlūkprogrammas logiem, taču mums būs jādara mazliet vairāk pētījumu, lai precīzi noskaidrotu to.