Razumijevanje funkcioniranja dijaloga i opcija Process Explorera je sve u redu i dobro, ali što je s korištenjem za neke stvarne probleme ili dijagnozu problema? Današnja lekcija Geek škole pokušat će vam pomoći da naučite kako to učiniti.
NAVIGACIJA ŠKOLENe tako davno, počeli smo istraživati sve vrste zlonamjernih programa i crapwarea koji se instaliraju automatski svaki put kad ne obratite pažnju dok instalirate softver. Gotovo svaki besplatni freeware na tržištu, uključujući i "ugledne" one, spajaju alatne trake, traži otmicu strašnosti ili adware, a dio je teško otkloniti.
Vidjeli smo mnoga računala od ljudi da znamo da ima toliko spyware i adware instaliran da računalo jedva čak i učitava više. Pokušaj učitavanja web preglednika, naročito, gotovo je nemoguć, jer se sve adware i softver za praćenje natječu za resurse kako bi ukrali vaše privatne podatke i prodali ih najvišem ponuđaču.
Dakako, htjeli smo malo istražiti kako neki od njih rade, a nema ničeg mjesta za pokretanje od malicioznog softvera Conduit Search koji je zauzeo stotine milijuna računala širom svijeta. Ova neugodna strašnost otima vašu tražilicu u vašem pregledniku, mijenja vašu početnu stranicu i najviše smeta, preuzima vašu novu karticu, bez obzira na koji je vaš preglednik postavljen.
Početi ćemo s tim gledanjem, a zatim ćemo vam pokazati kako koristiti Process Explorer za rješavanje pogrešaka koje govore o zaključanim datotekama i mapama koje se upotrebljavaju.
A onda ćemo je zaokružiti s još jednim pogledom na to kako se neki adware ovih dana skriva iza Microsoftovih procesa kako bi se oni pojavili pravilno u Process Exploreru ili Task Manageru, iako oni zapravo nisu.
Kao što smo već spomenuli, probojni haker Conduit jedna je od najnaprednijih, groznih i strašnih stvari koje gotovo svaka od vaših rođaka vjerojatno ima na svom računalu. Oni pakiraju softver na sumnjive načine s bilo kojim freewareom koji mogu, au mnogim slučajevima čak i ako odaberete isključivanje, otmičar će i dalje biti instaliran.
Conduit instalira ono što zovu "Search Protect", za koje tvrde da sprječava da zlonamjerni softver izmijeni svoj preglednik. Ono što ne spominju jest to da time i sprječava da unesete izmjene u svom pregledniku, osim ako ne koristite njihovu ploču za pretraživanje Protect da biste izvršili te promjene koje većina ljudi neće znati jer je pokopana u paleti sustava.
Ne samo da će provesti preusmjeravanje svih vaših pretraživanja na vlastitu prilagođenu stranicu Bing, nego će to postaviti kao svoju početnu stranicu. Netko bi trebao pretpostaviti da ih Microsoft isplati za sav promet na Bing, jer oni također prolaze ? Pc = provod vrstu argumenata u nizu upita.
Zabavna činjenica: tvrtka iza ovog smeća vrijedi 1,5 milijardi dolara, a JP Morgan uložio je 100 milijuna dolara u njih. Biti zlo je profitabilan.
Otkazivanje pretraživanja i početne stranice trivijalan je za bilo kakav zlonamjerni softver - ovdje Conduit podiže zlo i nekako prepisuje stranicu Nova kartica kako bi je prisilila da pokaže Conduit, čak i ako promijenite svaku postavku.
Možete deinstalirati sve svoje preglednike ili čak instalirati preglednik koji još niste instalirali, kao što je Firefox ili Chrome, a Conduit i dalje uspije oteti stranicu nove kartice.
Netko bi trebao biti u zatvoru, ali vjerojatno su na jahti. Ne treba mnogo u smislu geek vještina da bi se na kraju zaključilo da je problem aplikacija Search Protect koja se izvodi u paleti sustava. Ubijte taj proces, a iznenada se nove kartice otvaraju upravo onako kako je namjeravao preglednik.
Ali kako to točno radi? U bilo kojem pregledniku nema instaliranih dodataka ili proširenja. Nema dodataka. Registar je čist. Kako to oni rade?
Ovo je mjesto gdje se obratimo Process Exploreru radi nekog istraživanja. Prvo ćemo pronaći popis postupka Search Protect koji je dovoljno jednostavno jer je pravilno nazvan, ali ako niste bili sigurni, uvijek možete otvoriti prozor i upotrijebiti ikonu s ikonama bikova pored stavke dalekozor kako bi shvatio koji proces pripada prozoru.
Sada možete jednostavno odabrati odgovarajući postupak, koji je u ovom slučaju bio jedno od tri koja se automatski pokreće servisa Windows koja instalira Conduit. Kako sam znao da je to Windows servis koji ga ponovno pokreće? Zato što je boja tog retka, naravno, ružičasta. Naoružan tim znanjima, uvijek bih mogao zaustaviti ili izbrisati uslugu (iako u ovom konkretnom slučaju možete jednostavno deinstalirati program Deinstaliraj u Upravljačkoj ploči).
Sada kada ste odabrali postupak, možete upotrijebiti tipke prečaca CTRL + H ili CTRL + D da biste otvorili prikaz Rukavice ili DLL prikaz ili upotrijebite izbornik Prikaz -> Niži izbornik okvira.
Bilješka:u svijetu Windows, "handle" je cijela vrijednost koja se koristi za jedinstveno prepoznavanje resursa u memoriji poput prozora, otvorene datoteke, procesa ili mnogih drugih stvari. Svaki otvoreni prozor aplikacije na vašem računalu ima, na primjer, jedinstvenu "prozorsku ručku" koja se može koristiti za referenciranje.
DLL-ovi ili biblioteke dinamičnih veza su dijeljeni dijelovi kompiliranog koda koji se pohranjuju u zasebnu datoteku koja se dijeli između više aplikacija. Na primjer, umjesto da svaki program napiše vlastite dijaloške datoteke Open / Save datoteke, sve aplikacije mogu jednostavno koristiti zajednički dijaloški kôd koji pruža Windows u datoteci comdlg32.dll.
Pogled na popis ručica nekoliko minuta donio nam je malo bliže onome što se događalo, jer smo pronašli ručke za Internet Explorer i Chrome, od kojih su oba otvorena na testnom sustavu. Sigurno smo potvrdili da Search Protect radi nešto na našim otvorenim prozorima preglednika, ali morat ćemo napraviti još malo istraživanja kako bismo točno utvrdili što.
Sljedeće je da dvaput kliknete postupak na popisu da biste otvorili prikaz detalja, a zatim prebacite na karticu Slika koja će vam dati informacije o punom putu do izvršne datoteke, naredbenog retka, pa čak i radna mapa. Kliknemo na gumb Explore kako bismo pogledali instalacijsku mapu i vidjeli što se još tamo skriva.
Zanimljiv! Dostigli smo brojne DLL datoteke, ali iz nekog čudnog razloga nijedna od tih DLL datoteka nije bila navedena u prikazu DLL za proces pretraživanja Protect kad smo ga ranije gledali. To bi mogao biti problem.
Sljedeća stranica: rješavanje zaključanih datoteka i mapa
