Usando o Process Explorer para solucionar problemas e diagnosticar

Entender como funcionam os diálogos e opções do Process Explorer é bom, mas que tal usá-lo para solucionar problemas ou para diagnosticar um problema? A lição de hoje da Escola de Geeks tentará ajudá-lo a aprender como fazer exatamente isso.

NAVEGAÇÃO ESCOLAR

1. Quais são as ferramentas SysInternals e como você as usa?
2. Entendendo o Process Explorer
3. Usando o Process Explorer para solucionar problemas e diagnosticar
4. Entendendo o Process Monitor
5. Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
6. Usando o Autoruns para lidar com processos de inicialização e malware
7. Usando o BgInfo para exibir informações do sistema na área de trabalho
8. Usando o PsTools para controlar outros PCs a partir da linha de comando
9. Analisando e gerenciando seus arquivos, pastas e unidades
10. Encerrando e usando as ferramentas juntas

Não muito tempo atrás, começamos a investigar todos os tipos de malware e crapware que são instalados automaticamente sempre que você não presta atenção ao instalar o software. Quase todos os freewares no mercado, incluindo os “respeitáveis”, estão agrupando barras de ferramentas, pesquisa, horror ou adware, e alguns deles são difíceis de solucionar..

Vimos muitos computadores de pessoas que sabemos que têm muito spyware e adware instalados, e que o PC nem carrega mais. Tentando carregar o navegador da web, especialmente, é quase impossível, como todo o software de adware e rastreamento compete por recursos para roubar suas informações privadas e vendê-lo ao maior lance.

Então, naturalmente, nós queríamos fazer um pouco de investigação sobre como alguns deles funcionam, e não há lugar melhor para começar do que o malware Conduit Search, que já conquistou centenas de milhões de computadores em todo o mundo. Esse terrível horror seqüestra seu mecanismo de busca em seu navegador, altera sua página inicial e, o mais irritante, ele assume sua página de Nova Guia, não importa o que seu navegador esteja configurado para.

Começaremos examinando isso e mostraremos a você como usar o Process Explorer para solucionar erros que falam sobre arquivos e pastas bloqueados que estão em uso..

E, em seguida, daremos mais uma olhada em como alguns adwares estão se escondendo por trás dos processos da Microsoft para que pareçam legítimos no Process Explorer ou no Gerenciador de Tarefas, mesmo que eles não sejam verdadeiros..

Investigando o Malware de Pesquisa de Conduit

Como mencionamos, o sequestrador de buscas do Conduit é uma das coisas mais persistentes, terríveis e terríveis que quase todos os seus parentes provavelmente têm em seu computador. Eles agrupam seus softwares de maneira suspeita com qualquer freeware que puderem e, em muitos casos, mesmo que você opte por não participar, o sequestrador ainda será instalado.

A Conduit instala o que eles chamam de "Search Protect", que, segundo eles, impede que o malware faça alterações em seu navegador. O que eles não mencionam é que isso também impede que você faça alterações no navegador, a menos que você use o painel Search Protect para fazer essas alterações, o que a maioria das pessoas não saberá, já que ele está enterrado na bandeja do sistema..

O Conduit não apenas redirecionará todas as suas pesquisas para sua própria página personalizada do Bing, como definirá isso como sua página inicial. Alguém teria que assumir que a Microsoft está pagando por todo esse tráfego para o Bing, já que eles também estão passando ?pc = conduta tipo de argumentos na string de consulta.

Curiosidade: a empresa por trás desse pedaço de lixo vale 1,5 bilhões de dólares e o JP Morgan investiu 100 milhões de dólares neles. Ser mal é lucrativo.

Conduit seqüestra a nova página de guia… Mas como?

Sequestrar sua busca e sua home page é trivial para qualquer malware - é aqui que o Conduit corrige o mal e, de alguma forma, reescreve a página New Tab para forçar a exibição do Conduit, mesmo que você altere todas as configurações..

Você pode desinstalar todos os seus navegadores ou até mesmo instalar um navegador que você não tenha instalado antes, como Firefox ou Chrome, e o Conduit ainda conseguirá seqüestrar a página New Tab.

Alguém deveria estar na cadeia, mas eles provavelmente estão em um iate.

Não é preciso muito em termos de habilidades nerds para deduzir que o problema é o aplicativo Search Protect em execução na bandeja do sistema. Mate esse processo e, de repente, suas novas guias abrem exatamente como o criador do navegador pretendia.

Mas como, exatamente, isso acontece? Não há complementos ou extensões instaladas em nenhum dos navegadores. Não há plugins. O registro está limpo. Como eles fazem isso?

É aqui que nos voltamos para o Process Explorer para fazer alguma investigação. Primeiro, encontraremos o processo Search Protect na lista, o que é bastante fácil, porque ele é adequadamente nomeado, mas se você não tinha certeza, você sempre pode abrir a janela e usar o pequeno ícone de olho de boi ao lado do binóculos para descobrir qual processo pertence a uma janela.

Agora você pode simplesmente selecionar o processo apropriado, que nesse caso foi um dos três executados automaticamente pelo Serviço do Windows que o Conduit instala. Como eu sabia que era um serviço do Windows que o reinicia? Porque a cor dessa linha é rosa, claro. Armado com esse conhecimento, eu sempre poderia parar ou excluir o serviço (embora neste caso específico, você pode simplesmente desinstalar de desinstalar programas no painel de controle).

Agora que você selecionou o processo, é possível usar as teclas de atalho CTRL + H ou CTRL + D para abrir a exibição Handles ou a exibição DLLs ou usar o menu View -> Lower View Pane para fazer isso..

Nota: no mundo do Windows, um “identificador” é um valor inteiro usado para identificar de maneira exclusiva um recurso na memória, como uma janela, um arquivo aberto, um processo ou muitas outras coisas. Cada janela aberta do aplicativo em seu computador possui uma “alça de janela” exclusiva, por exemplo, que pode ser usada para referenciá-la.

DLLs, ou bibliotecas de links dinâmicos, são partes compartilhadas de código compilado que são armazenadas em um arquivo separado para serem compartilhadas entre vários aplicativos. Por exemplo, em vez de cada aplicativo gravar suas próprias caixas de diálogo Abrir / Salvar arquivo, todos os aplicativos podem simplesmente usar o código de diálogo comum fornecido pelo Windows no arquivo comdlg32.dll.

Examinar a lista de alças por alguns minutos nos aproximou um pouco mais do que estava acontecendo, pois encontramos alças para o Internet Explorer e o Chrome, ambos atualmente abertos no sistema de teste. Definitivamente, confirmamos que o Search Protect está fazendo algo em nossas janelas abertas do navegador, mas precisaremos fazer mais pesquisas para descobrir exatamente o que.

A próxima coisa a fazer é clicar duas vezes no processo na lista para abrir a exibição de detalhes e, em seguida, virar para a guia Imagem, que lhe dará informações sobre o caminho completo para o executável, a linha de comando e até mesmo o pasta de trabalho. Vamos clicar no botão Explorar para dar uma olhada na pasta de instalação e ver o que mais está escondido lá.

Interessante! Encontramos alguns arquivos DLL aqui, mas, por algum motivo estranho, nenhum desses arquivos DLL foi listado na visualização de DLLs do processo de proteção de pesquisa quando estávamos olhando para ele anteriormente. Isto poderia ser um problema.

Próxima página: Lidando com arquivos e pastas bloqueados