Page d'accueil » école » Utilisation de Process Explorer pour résoudre et diagnostiquer

    Utilisation de Process Explorer pour résoudre et diagnostiquer

    Comprendre le fonctionnement des boîtes de dialogue et des options de Process Explorer est une bonne chose, mais qu’en est-il de l’utiliser pour un dépannage réel ou pour diagnostiquer un problème? La leçon de la Geek School d'aujourd'hui vous aidera à apprendre à faire exactement cela.

    NAVIGATION SCOLAIRE
    1. Quels sont les outils SysInternals et comment les utilisez-vous??
    2. Comprendre Process Explorer
    3. Utilisation de Process Explorer pour résoudre et diagnostiquer
    4. Comprendre le moniteur de processus
    5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
    6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
    7. Utilisation de BgInfo pour afficher des informations système sur le bureau
    8. Utilisation de PsTools pour contrôler d’autres PC à partir de la ligne de commande
    9. Analyse et gestion de vos fichiers, dossiers et lecteurs
    10. Récapitulation et utilisation des outils ensemble

    Il n'y a pas si longtemps, nous avons commencé à enquêter sur toutes sortes de malwares et de crapwares qui s'installaient automatiquement chaque fois que vous n'y portiez pas attention. Presque tous les logiciels gratuits sur le marché, y compris les logiciels «réputés», regroupent des barres d’outils, des attaques de piratage de recherche ou des logiciels publicitaires, et certains sont difficiles à résoudre..

    Nous avons vu de nombreux ordinateurs de personnes connues qui ont tellement de logiciels espions et publicitaires installés que le PC ne charge même plus. Essayer de charger le navigateur Web, en particulier, est presque impossible, car tous les logiciels de publicité et de suivi se disputent des ressources pour voler vos informations personnelles et les vendre au plus offrant..

    Nous avons donc naturellement souhaité mener une enquête sur le fonctionnement de certaines de ces solutions. Il n’ya pas de meilleur endroit pour commencer que le programme malveillant Conduit Search, qui a détruit des centaines de millions d’ordinateurs dans le monde. Cette horrible pervers pirate votre moteur de recherche dans votre navigateur, modifie votre page d’accueil et, surtout, ennuie votre page Nouvel onglet, quelle que soit la configuration de votre navigateur..

    Nous allons commencer par examiner cela, puis nous vous montrerons comment utiliser Process Explorer pour résoudre les erreurs concernant les fichiers et dossiers verrouillés en cours d'utilisation..

    Nous verrons ensuite comment certains logiciels de publicité se cachent derrière des processus Microsoft pour apparaître légitimes dans Process Explorer ou Task Manager, même s'ils ne le sont pas vraiment..

    Examen du programme malveillant de recherche de conduit

    Comme nous l'avons mentionné, le pirate de ligne Conduit search est l'une des choses les plus persistantes, les plus terribles et les plus terribles que presque tous les membres de votre famille ont probablement sur leur ordinateur. Ils groupent leurs logiciels de manière louche avec les logiciels gratuits qu’ils peuvent, et dans de nombreux cas, même si vous choisissez de vous désabonner, le pirate de l'air sera toujours installé.

    Conduit installe ce qu'ils appellent «Search Protect», qui, selon eux, empêche les logiciels malveillants d'apporter des modifications à votre navigateur. Ce qu’ils ne mentionnent pas, c’est que cela vous empêche également d’apporter des modifications à leur navigateur, sauf si vous utilisez leur panneau Protection de la recherche pour effectuer ces modifications, ce que la plupart des gens ne connaissent pas car ils sont enfouis dans la barre des tâches.

    Conduit redirigera toutes vos recherches vers sa propre page Bing personnalisée, mais définira également cette page comme page d'accueil. Il faudrait supposer que Microsoft les paye pour tout ce trafic vers Bing, car ils transmettent également des ?pc = conduit type d'arguments dans la chaîne de requête.

    Anecdote: l'entreprise qui se cache derrière cette poubelle pèse 1,5 milliard de dollars et JP Morgan y a investi 100 millions de dollars. Être méchant est rentable.

    Conduit détourne la nouvelle page de l'onglet… mais comment?

    Le piratage de votre page de recherche et de votre page d'accueil est trivial pour tous les programmes malveillants - c’est là que Conduit intensifie le fléau et réécrit en quelque sorte la page Nouvel onglet pour le forcer à afficher Conduit, même si vous modifiez chaque paramètre..

    Vous pouvez désinstaller tous vos navigateurs, ou même installer un navigateur que vous n'aviez pas déjà installé, tel que Firefox ou Chrome, et Conduit parviendra toujours à détourner la page Nouvel onglet..

    Quelqu'un devrait être en prison, mais ils sont probablement sur un yacht.

    Il ne faut pas grand-chose en termes de compétences geek pour en déduire que le problème vient de l'application Search Protect s'exécutant dans la barre d'état système. Supprimez ce processus et vos nouveaux onglets s'ouvrent comme prévu par le fabricant du navigateur..

    Mais comment fait-il exactement cela? Il n'y a pas de add-ons ou d'extensions installés dans aucun des navigateurs. Il n'y a pas de plugins. Le registre est propre. Comment font-ils?

    C’est là que nous nous tournons vers Process Explorer pour mener une enquête. Tout d’abord, nous allons trouver le processus Search Protect dans la liste, ce qui est assez facile car il porte bien son nom, mais si vous n’êtes pas sûr, vous pouvez toujours ouvrir la fenêtre et utiliser la petite icône représentant un œil de bœuf à côté de la fenêtre. des jumelles pour savoir quel processus appartient à une fenêtre.

    Maintenant, vous pouvez simplement sélectionner le processus approprié, qui dans ce cas était l’un des trois processus exécutés automatiquement par le service Windows installé par Conduit. Comment savais-je que c'était un service Windows qui le redémarrait? Parce que la couleur de cette ligne est rose, bien sûr. Armé de cette connaissance, je pourrais toujours aller arrêter ou supprimer le service (bien que dans ce cas particulier, vous pouvez simplement désinstaller à partir de Désinstaller des programmes dans le Panneau de configuration)..

    Maintenant que vous avez sélectionné le processus, vous pouvez utiliser les touches de raccourci CTRL + H ou CTRL + D pour ouvrir la vue Handles ou la vue DLL, ou vous pouvez utiliser le menu Vue -> Vue du volet inférieur pour le faire..

    Remarque: Dans le monde de Windows, un «handle» est une valeur entière utilisée pour identifier de manière unique une ressource en mémoire, telle qu'une fenêtre, un fichier ouvert, un processus ou de nombreuses autres choses. Chaque fenêtre d’application ouverte sur votre ordinateur possède un «handle de fenêtre» unique, par exemple, qui peut être utilisé pour la référencer..

    Les DLL, ou bibliothèques de liens dynamiques, sont des éléments partagés de code compilé qui sont stockés dans un fichier séparé à partager entre plusieurs applications. Par exemple, au lieu de laisser chaque application écrire ses propres boîtes de dialogue Ouvrir / Enregistrer fichier, toutes les applications peuvent simplement utiliser le code de boîte de dialogue commun fourni par Windows dans le fichier comdlg32.dll..

    En parcourant la liste des poignées pendant quelques minutes, nous nous sommes un peu rapprochés de ce qui se passait, car nous avons trouvé des poignées pour Internet Explorer et Chrome, toutes deux actuellement ouvertes sur le système de test. Nous avons définitivement confirmé que Search Protect agissait dans les fenêtres de notre navigateur ouvert, mais nous devrons faire un peu plus de recherche pour savoir exactement quoi.

    La prochaine chose à faire est de double-cliquer sur le processus dans la liste pour ouvrir la vue détaillée, puis de basculer vers l'onglet Image, qui vous donnera des informations sur le chemin complet de l'exécutable, la ligne de commande et même la dossier de travail. Nous allons cliquer sur le bouton Explorer pour jeter un coup d'œil au dossier d'installation et voir ce qui s'y cache.

    Intéressant! Nous avons trouvé un certain nombre de fichiers DLL ici, mais pour une raison étrange, aucun de ces fichiers DLL n'était répertorié dans la vue DLL du processus Search Protect lorsque nous l'examinions précédemment. Cela pourrait être un problème.

    Page suivante: Traitement des fichiers et dossiers verrouillés