Sysinternals pro: med hjälp av Process Explorer för att felsöka och diagnostisera

Att förstå hur Process Explorer dialogrutor och alternativ arbete är alla fina och bra, men vad om att använda det för några faktiska felsökning eller att diagnostisera ett problem? Dagens Geek School lektion kommer att försöka hjälpa dig att lära hur man gör just detta.

Inte så länge sedan, vi började undersöka alla typer av skadlig kod och crapware som får installeras automatiskt när du inte uppmärksammar när du installerar programvaran. Nästan varje bit av gratisprogram på marknaden, inklusive de “seriösa” sådana, bunt verktygsfält, sök kapning awfulness eller adware, och en del av det är svårt att felsöka.

Vi har sett många datorer från människor som vi känner som har så mycket spionprogram och adware installerat att datorn knappt ens laster längre. Försöker ladda webbläsaren, i synnerhet, är nästan omöjligt, eftersom alla adware och mjukvara konkurrerar om resurser för att stjäla din privata information och sälja den till högstbjudande.

Så naturligtvis ville vi göra en lite undersökning om hur några av dessa fungerar, och det finns inget bättre ställe att börja än Conduit Sök skadlig kod som har krävt hundratals miljoner datorer världen över. Detta skändlig awfulness kapar din sökmotor i webbläsaren, ändrar din hemsida, och mest irriterande, tar den över sidan Ny flik oavsett vad din webbläsare är inställd på.

Vi börjar med att titta på det, och sedan kommer vi att visa hur man använder Process Explorer för att felsöka fel som talar om låsta filer och mappar som är i bruk.

Och då kommer vi rundar den ut med en annan titt på hur en del adware dessa dagar gömmer sig bakom Microsofts processer så att de visas legit i Process Explorer eller Aktivitetshanteraren, trots att de egentligen inte.

Som vi nämnde, är det Conduit sökning kapare en av de mest långlivade, fruktansvärda och fruktansvärda saker som nästan alla dina släktingar förmodligen har på sin dator. De bunt sin mjukvara i skuggiga sätt med någon freeware de kan, och i många fall, även om du väljer att välja bort, kommer kapare fortfarande installeras.

Conduit installerar vad de kallar “Sök Protect”, som de hävdar hindrar skadlig kod från att göra ändringar i din webbläsare. Vad de inte nämner är att det hindrar dig också från att göra några ändringar i sin webbläsare om du inte använder sin sökning Skydda panelen för att göra dessa förändringar, som de flesta människor inte vet om eftersom det är begravd i systemfältet.

Inte bara kommer ledningen omdirigera alla dina sökningar till sin egna Bing sida, kommer det att ställa in det som startsida. Man måste utgå från att Microsoft betalar dem för all denna trafik till Bing, eftersom de också förbi några? Pc = lednings typ av argument i frågesträngen.

Kul fakta: företaget bakom denna bit av sopor är värt 1,5 miljarder dollar och JP Morgan investerat $ 100.000.000 i dem. Är onda är lönsam.

Kapning din sökning och hemsidan är trivialt för skadlig kod – det är där Conduit steg upp det onda och på något sätt skriver Ny flik för att tvinga den att visa Conduit, även om du ändrar varenda inställning.

Du kan avinstallera alla dina webbläsare, eller ens installera en webbläsare som du inte har installerat förut, som Firefox eller Chrome, och Conduit kommer ändå lyckas kapa sidan Ny flik.

Det tar inte mycket i termer av geeken färdigheter för att så småningom sluta att problemet är Search Skydda program som körs i systemfältet. Döda denna process, och plötsligt din nya flikar öppna precis som webbläsaren tillverkaren avsett.

Men hur, exakt, gör den det? Det finns inga tillägg eller tillägg installeras i någon av webbläsarna. Det finns inte några insticksprogram. Registret är ren. Hur gör dom det?

Det är där vi vänder oss till Process Explorer att göra några undersökningar. Först ska vi hitta Search Skydda processen i listan, vilket är lätt nog att det är korrekt namnges, men om du inte var säker, kan du alltid öppna fönstret och använd den lilla prick bredvid den kikare för att räkna ut vilken process tillhör ett fönster.

Nu kan du helt enkelt välja lämplig process, som i detta fall var en av de tre som körs automatiskt av Windows Service som Conduit installeras. Hur visste jag att det var en Windows-tjänst som startar det? Eftersom färgen på den raden är rosa, naturligtvis. Beväpnad med denna kunskap, kan jag alltid gå stoppa eller ta bort tjänsten (även i detta fall, kan du enkelt avinstallera från avinstallera program i Kontrollpanelen).

Nu när du har valt processen, kan du använda CTRL + H eller CTRL + D för genväg för att öppna handtagen visa eller DLL visa, eller så kan du använda Visa -> nedre rutan Visa-menyn för att göra det.

Notera: i en värld av Windows, ett “handtag” är ett heltal som används för att identifiera en resurs i minnet som ett fönster, en öppen fil, en process, eller många andra saker. Varje öppna programfönster på datorn har en unik “fönsterhandtag”, till exempel, som kan användas för att referera till den.

DLL-filer, eller dynamiska länkbibliotek, delas delar av kompilerad kod som lagras i en separat fil som ska delas mellan flera applikationer. Till exempel, i stället för att varje ansökan skriva egna Arkiv Öppna / spara dialogrutor, alla program kan helt enkelt använda den gemensamma dialog koden från Windows i comdlg32.dll filen.

Tittar igenom listan med handtag för ett par minuter fört oss lite närmare vad som pågick, eftersom vi hittade handtag till Internet Explorer och Chrome, som båda är öppna på testsystemet. Vi har definitivt bekräftat att Sök Protect gör något till våra öppna webbläsarfönster, men vi måste göra lite mer forskning för att ta reda på exakt vad.

Nästa sak att göra är att dubbelklicka på processen i listan för att öppna upp detaljerna visa, och sedan slå över till fliken Bild, som kommer att ge dig information om den fullständiga sökvägen till den körbara, kommandoraden, och även arbetsmapp. Vi kommer att klicka på knappen Utforska att ta en titt på installationsmappen och se vad gömmer sig där.

Intressant! Vi har hittat ett antal DLL-filer här, men av någon konstig anledning ingen av dessa DLL-filer finns förtecknade i DLL vy för Search Skydda processen när vi letade på det tidigare. Detta kan vara ett problem.

Nästa sida: hantera låsta filer och mappar

Jag verkligen njuta av denna serie.

En sak värt att notera är att den hjälp verktyg med de flesta Sysinternals program är värt att titta på. Vissa verktyg har funnits i flera år men och hjälpen är på en gammal format Winhlp32, och du kan behöva installera KB917607 att läsa dem.

Utmärkt serie, jag lär en hel del om hur man ska gå längre än den begränsade informationen i Aktivitetshanteraren. Microsoft förtjänar mycket kredit (aldrig trodde jag skulle säga det!) För att köpa företaget och ge Sysinternals Suite gratis.

Medan hjälp, har jag upptäckt att hjälpfilerna med Sysinternals verktyg ganska begränsad, men. Jag var tvungen att göra en hel del mer att gräva för att komma upp med några av de svar jag letade efter.

När jag klickar på bulls-eye sak står det “dra över fönster” Vad fönster? Jag kan inte se vad det gör? När jag klickar på den, det går bara på baksidan av allt? Dra den runt inte göra någonting heller?

Tracy

Bullseye hjälper dig hitta processer från sina fönster. Om du öppnar 3-program och få dem på skärmen samtidigt och dra bullseye över ett av dem och släppa taget, kommer Process Explorer flyttas tillbaka för att fokusera och processen kör applikationen du placerade bullseye över kommer att väljas. Betyder det att hjälpa?

Aibohphobia är termen för irrationell rädsla för palindrom och är avsiktligt, palindrom.