프로세스 탐색기를 사용하여 문제 해결 및 진단

Process Explorer의 대화 상자와 옵션이 어떻게 작동하는지 이해하는 것은 좋지만 문제 해결을 위해 또는 문제를 진단하는 데는 어떨까요? 오늘의 긱 스쿨 레슨은 그 일을하는 법을 배우도록 도와 줄 것입니다..

학교 이동

1. SysInternals 도구 란 무엇이며 어떻게 사용합니까??
2. 프로세스 탐색기 이해
3. 프로세스 탐색기를 사용하여 문제 해결 및 진단
4. 프로세스 모니터 이해
5. 프로세스 모니터를 사용하여 레지스트리 해킹 문제를 해결하고 찾기
6. 자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기
7. BgInfo를 사용하여 데스크탑에 시스템 정보 표시
8. PsTools를 사용하여 명령 줄에서 다른 PC 제어
9. 파일, 폴더 및 드라이브 분석 및 관리
10. 함께 포장하고 사용하기

오래 전에 소프트웨어를 설치하는 동안주의를 기울이지 않으면 자동으로 설치되는 모든 종류의 악성 코드 및 Crapware를 조사하기 시작했습니다. "평판이 좋은"것을 포함하여 시장에 나와있는 거의 모든 프리웨어 조각은 도구 모음 번들, 검색 도용 끔찍함 또는 애드웨어이며, 일부는 문제를 해결하기가 어렵습니다..

우리는 많은 스파이웨어와 애드웨어가 설치되어 PC가 거의로드되지 않는 사람들로부터 많은 컴퓨터를 보았습니다. 애드웨어 및 추적 소프트웨어가 모두 귀하의 개인 정보를 훔쳐 최고 입찰자에게 판매하기 위해 경쟁하고 있기 때문에 특히 웹 브라우저를로드하려고 시도하는 것은 거의 불가능합니다..

그래서 자연스럽게 우리는 이들 중 일부가 어떻게 작동하는지에 대한 조사를하고 싶었습니다. 전 세계적으로 수억 대의 컴퓨터를 감염시킨 Conduit Search 멀웨어보다 더 좋은 곳은 없습니다. 이 사악한 끔찍한 일은 브라우저에서 검색 엔진을 가로 채고 홈페이지를 변경하며 브라우저가 무엇이든 관계없이 새 탭 페이지를 넘겨줍니다..

먼저 살펴보고, 프로세스 탐색기를 사용하여 잠긴 파일 및 사용중인 폴더에 관한 오류를 해결하는 방법을 보여줍니다.

그런 다음 마이크로 소프트 프로세스 뒤에 숨어있는 애드웨어가 실제로 어떻게 보이지 않더라도 프로세스 탐색기 나 작업 관리자에 합법적으로 보이게하는 방법에 대해 다시 한번 살펴 보겠습니다..

도관 검색 악성 코드 조사

앞서 언급했듯이 도관 검색 도용자는 친척 중 거의 모든 사람이 자신의 컴퓨터에 가지고있는 가장 지속적이고 끔찍한 끔찍한 일 중 하나입니다. 가능한 한 모든 프리웨어로 소프트웨어를 그늘진 방식으로 묶어 놓습니다. 선택을 취소하더라도 하이재커는 계속 설치됩니다..

Conduit은 악성 코드가 브라우저를 변경하는 것을 막는 "Search Protect"라고 부르는 것을 설치합니다. 그들이 언급하지 않는 이유는 Search Protect 패널을 사용하여 변경 사항을 적용하지 않는 한 브라우저를 변경하지 못하게하는 것입니다. 대부분의 사람들은 시스템 트레이에 묻어서 알지 못합니다..

Conduit은 모든 사용자 검색을 자신의 사용자 지정 Bing 페이지로 리디렉션 할뿐만 아니라 홈 페이지로 설정합니다. Bing에 대한 모든 트래픽에 대해 Microsoft가 비용을 지불하고 있다고 가정해야합니다. ?pc = 도관 쿼리 문자열에 인수 형식.

재미있는 사실 : 쓰레기 더미 뒤에있는 회사는 15 억 달러이고 JP Morgan은 1 억 달러를 투자했습니다. 악마가된다는 것은 유익하다..

도관은 새 탭 페이지를 납치합니다 ...하지만 어떻게?

검색 및 홈 페이지 가로 채기는 악성 코드에 대해서는 사소한 일입니다. 이것은 Conduit이 악의를 딛고 모든 설정을 변경하더라도 Conduit을 표시하도록 새 탭 페이지를 다시 작성하는 곳입니다..

모든 브라우저를 제거하거나 Firefox 또는 Chrome과 같이 이전에 설치하지 않은 브라우저를 설치하여 도관이 새 탭 페이지를 여전히 도용 할 수 있습니다..

누군가는 감옥에 있어야하지만 그들은 요트에 타고있을 것입니다..

괴짜 기술의 측면에서 볼 때 시스템 트레이에서 실행되는 Search Protect 응용 프로그램이라는 문제가 있음을 추측하기에는별로 도움이되지 않습니다. 이 프로세스를 종료하면 새 탭이 갑자기 브라우저 제작자가 의도 한대로 열리게됩니다..

그러나 정확히 어떻게이 일을합니까? 추가 기능이나 확장 프로그램이 브라우저에 설치되어 있지 않습니다. 플러그인이 없습니다. 레지스트리가 깨끗합니다. 그들은 그걸 어떻게 햇어?

여기서 Process Explorer로 가서 조사를합니다. 먼저 목록에서 검색 보호 프로세스를 찾습니다. 이름이 적절하기 때문에 쉽습니다. 그러나 확실하지 않은 경우에는 항상 창을 열어서 옆에있는 작은 황소 눈 아이콘을 사용할 수 있습니다. 창에 속한 프로세스 파악을위한 쌍안경.

이제는 적절한 프로세스를 선택할 수 있습니다.이 프로세스는 Conduit이 설치하는 Windows 서비스에 의해 자동으로 실행되는 세 프로세스 중 하나였습니다. 어떻게 다시 시작하는 Windows 서비스인지 어떻게 알 수 있습니까? 그 행의 색깔은 핑크색이기 때문에. 그 지식으로 무장 한 나는 항상 서비스를 중지하거나 삭제할 수 있습니다 (이 특별한 경우에는 제어판의 프로그램 제거에서 간단히 제거 할 수 있습니다).

이제 프로세스를 선택 했으므로 Ctrl + H 또는 Ctrl + D 바로 가기 키를 사용하여 핸들보기 또는 DLL보기를 열거 나보기 -> 하단 창보기 메뉴를 사용하여 수행 할 수 있습니다.

노트 : Windows에서 "핸들"은 창, 열린 파일, 프로세스 또는 다른 많은 것들과 같이 메모리의 리소스를 고유하게 식별하는 데 사용되는 정수 값입니다. 컴퓨터의 열려있는 각 응용 프로그램 창에는 예를 들어이를 참조하는 데 사용할 수있는 고유 한 "창 핸들"이 있습니다.

DLL 또는 동적 링크 라이브러리는 여러 파일간에 공유되도록 별도의 파일에 저장되는 컴파일 된 코드 조각입니다. 예를 들어, 모든 응용 프로그램이 자신의 파일 열기 / 저장 대화 상자를 작성하는 대신 모든 응용 프로그램은 Windows에서 제공하는 공통 대화 코드를 comdlg32.dll 파일.

몇 분 동안 핸들 목록을 살펴보면 현재 진행중인 작업에 조금 더 가까워졌습니다. Internet Explorer와 Chrome에 대한 핸들을 발견했기 때문에 둘 다 현재 테스트 시스템에 열려 있습니다. 우리는 Search Protect가 열려있는 브라우저 창에 대해 어떤 조치를 취하고 있음을 확실히 확인했습니다. 그러나 우리는 정확히 무엇을 알아 내려고 좀 더 조사해야 할 것입니다..

다음으로 할 일은 목록에서 프로세스를 두 번 클릭하여 세부 정보보기를 연 다음 이미지 탭으로 넘어가십시오.이 탭은 실행 파일, 명령 줄 및 심지어 전체 경로에 대한 전체 경로에 대한 정보를 제공합니다. 작업 폴더. 탐색 버튼을 클릭하여 설치 폴더를 살펴보고 그 외에 무엇이 보이는지 확인합니다..

흥미 롭 군! 우리는 여기에 여러 DLL 파일을 찾았지만 이상한 이유로이 DLL 파일을 이전에 살펴볼 때 검색 보호 프로세스의 DLL보기에 나열되지 않았습니다. 이것은 문제가 될 수있다..

다음 페이지 : 잠긴 파일 및 폴더 다루기