Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi

Capire come funzionano le finestre di dialogo e le opzioni di Process Explorer va bene, ma che ne dici di usarlo per una vera risoluzione dei problemi o per diagnosticare un problema? La lezione di Geek School di oggi cercherà di aiutarti a imparare come fare proprio questo.

1. Quali sono gli strumenti SysInternals e come li usi?
2. Comprendere Process Explorer
3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
4. Comprensione del monitor di processo
5. Utilizzo di Process Monitor per risolvere i problemi e trovare gli hack del registro
6. Utilizzo di Autoruns per gestire processi di avvio e malware
7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
8. Utilizzo di PsTools per controllare altri PC dalla riga di comando
9. Analisi e gestione di file, cartelle e unità
10. Conclusione e utilizzo degli strumenti insieme

Non molto tempo fa, abbiamo iniziato a indagare su tutti i tipi di malware e crapware che vengono installati automaticamente ogni volta che non presti attenzione durante l'installazione del software. Quasi ogni pezzo di freeware sul mercato, compresi quelli affidabili, raggruppano barre degli strumenti, dirottamento di ricerche orribili o adware, e alcuni di questi sono difficili da risolvere.

Abbiamo visto molti computer di persone che sappiamo che hanno così tanti spyware e adware installati che il PC si carica a malapena. Cercare di caricare il browser Web, in particolare, è quasi impossibile, poiché tutto l'adware e il software di monitoraggio competono per le risorse per rubare le tue informazioni private e venderle al miglior offerente.

Quindi, naturalmente, abbiamo voluto fare un po' di indagine su come funzionano alcuni di questi, e non c'è posto migliore per iniziare del malware Conduit Search che ha colpito centinaia di milioni di computer in tutto il mondo. Questa nefasta orribilità dirotta il tuo motore di ricerca nel tuo browser, cambia la tua home page e, cosa più fastidiosa, prende il sopravvento sulla tua pagina Nuova scheda, indipendentemente da come è impostato il tuo browser.

Inizieremo esaminandolo, quindi ti mostreremo come utilizzare Process Explorer per risolvere gli errori che parlano di file e cartelle bloccati che sono in uso.

E poi lo completeremo con un'altra occhiata a come alcuni adware in questi giorni si nascondono dietro i processi Microsoft in modo che appaiano legittimi in Process Explorer o Task Manager, anche se in realtà non lo sono.

Indagare sul malware di ricerca condotto

Come accennato, il dirottatore di ricerca di Conduit è una delle cose più persistenti, orribili e terribili che quasi tutti i tuoi parenti probabilmente hanno sul proprio computer. Raggruppano il loro software in modi loschi con qualsiasi freeware possibile e, in molti casi, anche se si sceglie di rinunciare, il dirottatore verrà comunque installato.

Conduit installa ciò che chiamano Search Protect, che secondo loro impedisce al malware di apportare modifiche al browser. Quello che non menzionano è che ti impedisce anche di apportare modifiche al loro browser a meno che non utilizzi il loro pannello Search Protect per apportare tali modifiche, di cui la maggior parte delle persone non sarà a conoscenza poiché è sepolto nella barra delle applicazioni.

Non solo Conduit reindirizzerà tutte le tue ricerche alla propria pagina Bing personalizzata, ma la imposterà come home page. Si dovrebbe presumere che Microsoft li stia pagando per tutto questo traffico a Bing, dal momento che ne stanno anche passando un po' ?pc=condotto tipo di argomenti nella stringa di query.

Fatto divertente: la società dietro questo pezzo di spazzatura vale 1,5 miliardi di dollari e JP Morgan ha investito $ 100 milioni in loro. Essere malvagi è redditizio.

Conduit dirotta la pagina Nuova scheda... Ma come?

Dirottare la tua ricerca e la tua home page è banale per qualsiasi malware: è qui che Conduit intensifica il male e in qualche modo riscrive la pagina Nuova scheda per costringerla a mostrare Conduit, anche se cambi ogni singola impostazione.

Puoi disinstallare tutti i tuoi browser o persino installare un browser che non avevi installato prima, come Firefox o Chrome, e Conduit riuscirà comunque a dirottare la pagina Nuova scheda.

Qualcuno dovrebbe essere in prigione, ma probabilmente sono su uno yacht.

Non ci vuole molto in termini di abilità da geek per dedurre alla fine che il problema è l'applicazione Search Protect in esecuzione nella barra delle applicazioni. Uccidi quel processo e improvvisamente le tue nuove schede si aprono proprio come previsto dal creatore del browser.

Ma come, esattamente, lo fa? Non ci sono componenti aggiuntivi o estensioni installati in nessuno dei browser. Non ci sono plugin. Il registro è pulito. Come lo fanno?

Qui è dove ci rivolgiamo a Process Explorer per fare qualche indagine. Innanzitutto, troveremo il processo di protezione della ricerca nell'elenco, che è abbastanza semplice perché ha un nome appropriato, ma se non sei sicuro, puoi sempre aprire la finestra e utilizzare l'icona a forma di occhio di bue accanto al binocolo per capire quale processo appartiene a una finestra.

Ora puoi semplicemente selezionare il processo appropriato, che in questo caso era uno dei tre eseguiti automaticamente dal servizio Windows installato da Conduit. Come facevo a sapere che era un servizio di Windows a riavviarlo? Perché il colore di quella riga è rosa, ovviamente. Armato di questa conoscenza, potrei sempre interrompere o eliminare il servizio (anche se in questo caso particolare, puoi semplicemente disinstallare da Disinstalla programmi nel Pannello di controllo).

Ora che hai selezionato il processo, puoi utilizzare i tasti di scelta rapida CTRL + H o CTRL + D per aprire la vista Handle o la vista DLL, oppure puoi utilizzare il menu Visualizza -> Vista riquadro inferiore per farlo.

Nota: nel mondo di Windows, un handle è un valore intero che viene utilizzato per identificare in modo univoco una risorsa in memoria come una finestra, un file aperto, un processo o molte altre cose. Ogni finestra dell'applicazione aperta sul computer ha un handle di finestra univoco, ad esempio, che può essere utilizzato come riferimento.

Le DLL, o librerie a collegamento dinamico, sono parti condivise di codice compilato che vengono archiviate in un file separato per essere condivise tra più applicazioni. Ad esempio, invece di fare in modo che ogni applicazione scriva le proprie finestre di dialogo Apri/Salva file, tutte le applicazioni possono semplicemente utilizzare il codice di dialogo comune fornito da Windows nel file comdlg32.dll.

Esaminare l'elenco degli handle per alcuni minuti ci ha avvicinato un po' a quello che stava succedendo, perché abbiamo trovato gli handle per Internet Explorer e Chrome, entrambi attualmente aperti nel sistema di test. Abbiamo sicuramente confermato che Search Protect sta facendo qualcosa per le nostre finestre del browser aperte, ma avremo bisogno di fare un po' più di ricerca per capire esattamente cosa.

La prossima cosa da fare è fare doppio clic sul processo nell'elenco per aprire la visualizzazione dei dettagli, quindi passare alla scheda Immagine, che ti fornirà informazioni sul percorso completo dell'eseguibile, sulla riga di comando e persino sul cartella di lavoro. Faremo clic sul pulsante Esplora per dare un'occhiata alla cartella di installazione e vedere cos'altro si nasconde lì.

Interessante! Abbiamo trovato un certo numero di file DLL qui, ma per qualche strano motivo nessuno di questi file DLL era elencato nella vista DLL per il processo Search Protect quando lo stavamo guardando in precedenza. Questo potrebbe essere un problema.

Ogni volta che vuoi vedere se un file DLL è attualmente utilizzato da qualsiasi applicazione sul tuo sistema, puoi far apparire il riquadro di ricerca andando al menu Trova, premendo CTRL + F o semplicemente facendo clic sull'icona del binocolo sulla barra degli strumenti. Ora digita parte del nome della DLL o anche il nome completo se lo desideri.

Abbiamo scelto di cercare solo l'inizio, SPVC, poiché quello era il legame comune tra tutti loro e, abbastanza sicuro, sembra che quelle DLL vengano caricate direttamente in ciascuno dei processi del browser in esecuzione sul nostro computer.

Facendo clic su uno degli elementi nell'elenco e passando alla pagina Thread abbiamo confermato ciò di cui eravamo preoccupati. Sia Chrome che Internet Explorer stavano eseguendo thread utilizzando i file SPVC32.dll o SPVC64.dll dal malware Search Protect, ed è così che stavano dirottando la nostra nuova scheda, non modificando le impostazioni, ma dirottando il browser dall'interno.

Nota: In Windows, un thread è ciò che il sistema operativo alloca per l'esecuzione del processore. Un processo in Windows è ciò a cui siamo abituati a pensare come smanettoni e tipi di amministratori di sistema, ma tecnicamente i thread sono in realtà l'unica cosa che viene eseguita in Windows, non i processi. Alcuni processi possono avere un solo thread di esecuzione, ma altri possono avere molti thread che sono tutti in esecuzione separatamente l'uno dall'altro, di solito comunicando con una sorta di meccanismo di comunicazione in-process.

Puoi anche fare doppio clic su uno qualsiasi dei thread per vedere lo stack di esecuzione completo, che può essere utile per vedere quali funzioni vengono chiamate e tentare di capire qual è il problema.

Ti starai chiedendo come l'applicazione Search Protect sia riuscita a far caricare a Google Chrome quella DLL e la risposta è che Windows fornisce una funzionalità chiamata DLL Injection. Un processo può inserire una DLL in un altro processo e quindi dirottare determinate funzioni API. Questo è il modo in cui alcune applicazioni sovrascrivono le funzionalità di Windows o le funzionalità di altre applicazioni. È un argomento molto complicato che sicuramente non possiamo approfondire in questa lezione, ma se vuoi davvero leggere di più, puoi dare un'occhiata a questa guida .

Vale anche la pena notare che puoi vedere l'utilizzo della CPU per thread scavando in questo livello di dettagli, che può essere molto utile durante la risoluzione dei problemi di un'applicazione che dispone di plug-in. Potresti usarlo per capire che un particolare file DLL sta occupando troppo tempo del processore e quindi fare qualche ricerca su a cosa appartiene quel componente.

Gestire file o cartelle bloccati

Dal momento che è improbabile che indagherai continuamente sul malware, è anche utile utilizzare Process Explorer per altre attività, come gestire le finestre di dialogo In uso che puoi ogni volta che tenti di eliminare, spostare o modificare un file o una cartella che viene utilizzato da un altro processo, soprattutto quando non si è sicuri di quale processo lo stia bloccando.

Quando ricevi un errore come quello, vai su Process Explorer, apri la ricerca con CTRL + F o l'icona, quindi digita il nome della cartella sopra elencata (o il percorso completo più descrittivo se il nome è molto vago).

Vedrai molto rapidamente un processo nell'elenco che ha il tuo file o cartella aperto e puoi fare doppio clic su di esso per identificare il processo nell'elenco.

La tua reazione immediata potrebbe essere quella di chiudere semplicemente quel processo, ma non devi necessariamente farlo. Puoi anche fare clic con il pulsante destro del mouse sul file o sulla cartella nell'elenco delle maniglie (usa l'opzione CTRL + H per visualizzare l'elenco delle maniglie) e scegliere l'opzione Chiudi maniglia. Quella risorsa è ora sbloccata!

Nota: Se stai eliminando qualcosa, questa è un'opzione perfetta, ma se stai solo provando a modificare o spostare quell'elemento, dovresti probabilmente aprire l'applicazione incriminata e gestirla lì in modo da non perdere alcun dato.

Ricerca di processi che sembrano sicuri ma non lo sono

Durante la nostra ricerca sui malware abbiamo notato un altro problema che sta diventando sempre più diffuso, quindi è consigliabile tenerlo d'occhio in futuro. Qual è questo problema? Il malware si nasconde dietro i processi legittimi di Windows e sta facendo un buon lavoro.

Il problema è l'utilità Windows rundll32.exe, che può essere utilizzata per eseguire arbitrariamente funzioni da file DLL. Poiché questa utility è firmata da Microsoft, si presenta come un processo completamente legittimo nell'elenco, ma in realtà ciò che stanno facendo è semplicemente spostare tutto il loro codice malware / adware in un file .DLL anziché in un file .EXE, quindi caricare invece il malware con rundll32.exe. In effetti, se vedi rundll32.exe in esecuzione come un proprio processo nel colore azzurro mostrato di seguito, è quasi sempre qualcosa che non dovrebbe essere in esecuzione.

Nell'esempio seguente, puoi vedere che anche se abbiamo utilizzato la funzione Verified Signer per convalidare quell'elemento, quando ci passiamo sopra e osserviamo il percorso completo, in realtà sta caricando una DLL che risulta essere parte di un adware Prodotto.

Nota: prima di iniziare a urlare sull'esecuzione di una scansione antivirus, noteremo che l'abbiamo fatto e non è tornato con nulla. Gran parte di questo crapware, adware e spyware viene ignorato dalle utility antivirus.

Fare doppio clic per aprire i dettagli mostra più problemi e possiamo anche vedere la directory in cui il badware sta esaurendo, che useremo per indagare ulteriormente.

All'interno di quella directory abbiamo trovato una serie di file che venivano aggiornati costantemente in background.

Il resto dell'indagine ha portato ad alcuni altri strumenti che non erano SysInternals e che probabilmente tratteremo in un secondo momento, ma basti dire che questo è solo un malware che era in esecuzione insieme a un'altra applicazione crapware .

Il punto importante qui è che il malware è in grado di nascondersi dietro eseguibili Windows legittimi, quindi assicurati di tenere gli occhi aperti per qualcosa di simile.

Prossimamente in arrivo

Resta sintonizzato domani per ulteriori informazioni su SysInternals, poiché ti mostriamo come utilizzare l'utilità Process Monitor per tenere traccia di ciò che le applicazioni stanno effettivamente facendo dietro le quinte. Sarà illuminante.

• › 5 siti Web che ogni utente Linux dovrebbe aggiungere ai segnalibri
• & rsaquo; Cyber ​​Monday 2021: le migliori offerte tecnologiche
• › Funzioni e formule in Microsoft Excel: qual è la differenza?
• › La cartella del computer è 40: come la star di Xerox ha creato il desktop
• › Che cos'è la protezione anticaduta MIL-SPEC?
• › Come trovare il tuo Spotify Wrapped 2021