NAVIGAZIONE SCOLASTICA
- Quali sono gli strumenti di SysInternals e come li usi?
- Capire Process Explorer
- Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
- Comprensione del monitor di processo
- Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
- Utilizzo di Autoruns per gestire i processi di avvio e il malware
- Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
- Usare PsTools per controllare altri PC dalla riga di comando
- Analisi e gestione di file, cartelle e unità
- Avvolgimento e utilizzo degli strumenti insieme
Non molto tempo fa, abbiamo iniziato a indagare su tutti i tipi di malware e crapware che vengono installati automaticamente ogni volta che non presti attenzione durante l'installazione del software. Quasi ogni pezzo di freeware sul mercato, compresi quelli "affidabili", raggruppa barre degli strumenti, dirottamento di ricerca o adware e alcuni di essi sono difficili da risolvere.
Abbiamo visto molti computer da persone che sappiamo che hanno installato così tanto spyware e adware che il PC ne carica a malapena. Cercare di caricare il browser Web, in particolare, è quasi impossibile, poiché tutto il software di adware e di tracciamento è in competizione con le risorse per rubare le informazioni private e venderle al miglior offerente.
Quindi, naturalmente, volevamo fare un po 'di ricerche su come alcuni di questi funzionano, e non c'è posto migliore per iniziare rispetto al malware di Conduit Search che ha causato centinaia di milioni di computer in tutto il mondo. Questa nefande orrenda dirotta il tuo motore di ricerca nel tuo browser, cambia la tua home page e, cosa più fastidiosa, riprende la tua pagina Nuova scheda indipendentemente dal browser.
Inizieremo guardando questo e poi mostreremo come usare Process Explorer per risolvere gli errori che parlano di file e cartelle bloccati che sono in uso.
E poi completeremo il tutto con un altro sguardo su come alcuni adware in questi giorni si nascondono dietro i processi di Microsoft in modo che appaiano in Process Explorer o Task Manager, anche se in realtà non lo sono.
Indagare il malware di ricerca di conduit
Come abbiamo detto, il dirottatore di ricerca di Conduit è una delle cose più persistenti, terribili e terribili che quasi tutti i tuoi parenti hanno sul loro computer. Essi raggruppano i loro software in modo losco con qualsiasi freeware possibile e, in molti casi, anche se si sceglie di opt-out, il dirottatore verrà comunque installato.
Conduit installa ciò che chiamano "Search Protect", che affermano che impedisce al malware di apportare modifiche al browser. Ciò che non menzionano è che impedisce anche di apportare modifiche al proprio browser a meno che non si utilizzi il pannello di Search Protection per apportare tali modifiche, che la maggior parte delle persone non conoscerà poiché è sepolto nella barra delle applicazioni.
Conduit non solo reindirizzerà tutte le tue ricerche sulla propria pagina Bing personalizzata, ma imposterà quella come pagina iniziale. Si dovrebbe supporre che Microsoft li stia pagando per tutto questo traffico a Bing, dal momento che ne stanno passando anche alcuni ? Pc = condotto tipo di argomenti nella stringa di query.
Fatto divertente: la società dietro questo pezzo di spazzatura vale 1,5 miliardi di dollari e JP Morgan ha investito 100 milioni di dollari in questi. Essere cattivi è redditizio.
Conduit dirotta la pagina Nuova scheda … Ma come?
Il dirottamento della ricerca e della home page è banale per qualsiasi malware: qui Conduit incrementa il male e in qualche modo riscrive la pagina Nuova scheda per costringerlo a mostrare Conduit, anche se si modifica ogni singola impostazione.
Puoi disinstallare tutti i tuoi browser o persino installare un browser che non hai mai installato prima, come Firefox o Chrome, e Conduit riuscirà comunque a dirottare la pagina Nuova scheda.
Qui è dove ci rivolgiamo a Process Explorer per fare alcune indagini. In primo luogo, troveremo il processo di Search Protection nella lista, che è abbastanza facile perché è opportunamente chiamato, ma se non eri sicuro, puoi sempre aprire la finestra e usare l'icona a forma di occhio di bue accanto al binocolo per capire quale processo appartiene a una finestra.
Ora che hai selezionato il processo, puoi usare i tasti di scelta rapida CTRL + H o CTRL + D per aprire la vista Gestisci o la vista DLL, oppure puoi usare il menu Visualizza -> Vista riquadro inferiore per farlo.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Guardando l'elenco delle maniglie per alcuni minuti ci siamo avvicinati un po 'a quello che stava succedendo, perché abbiamo trovato maniglie per Internet Explorer e Chrome, che sono entrambi attualmente aperti sul sistema di test. Abbiamo sicuramente confermato che Search Protect sta facendo qualcosa per le nostre finestre aperte del browser, ma avremo bisogno di fare un po 'più di ricerche per capire esattamente cosa.