Verwenden des Process Explorers zur Fehlerbehebung und Diagnose

Verwenden des Process Explorers zur Fehlerbehebung und Diagnose

Using Process Explorer Troubleshoot

Musik auf YouTube Musik hochladen

Es ist gut und gut zu verstehen, wie die Dialoge und Optionen von Process Explorer funktionieren, aber wie sieht es mit der tatsächlichen Fehlerbehebung oder der Diagnose eines Problems aus? Die heutige Geek School-Lektion wird versuchen, Ihnen zu helfen, genau das zu lernen.



SCHULNAVIGATION
  1. Was sind die SysInternals-Tools und wie werden sie verwendet?
  2. Prozess-Explorer verstehen
  3. Verwenden des Process Explorers zur Fehlerbehebung und Diagnose
  4. Prozessmonitor verstehen
  5. Verwenden von Process Monitor zur Fehlerbehebung und zum Auffinden von Registry-Hacks
  6. Verwenden von Autoruns zum Umgang mit Startprozessen und Malware
  7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
  8. Verwenden von PsTools zum Steuern anderer PCs über die Befehlszeile
  9. Analysieren und Verwalten Ihrer Dateien, Ordner und Laufwerke
  10. Zusammenfassen und Verwenden der Tools

Vor nicht allzu langer Zeit haben wir damit begonnen, alle Arten von Malware und Crapware zu untersuchen, die jedes Mal automatisch installiert werden, wenn Sie bei der Installation von Software nicht aufpassen. Fast jede Freeware auf dem Markt, einschließlich der seriösen, bündelt Symbolleisten, entführt schreckliche Suchvorgänge oder Adware, und einige davon sind schwer zu beheben.

Wir haben viele Computer von Leuten gesehen, die wir kennen, die so viel Spyware und Adware installiert haben, dass der PC kaum noch lädt. Insbesondere der Versuch, den Webbrowser zu laden, ist fast unmöglich, da die gesamte Adware und Tracking-Software um Ressourcen konkurrieren, um Ihre privaten Informationen zu stehlen und an den Meistbietenden zu verkaufen.

Daher wollten wir natürlich ein wenig untersuchen, wie einige davon funktionieren, und es gibt keinen besseren Ausgangspunkt als die Schadsoftware Conduit Search, die Hunderte Millionen Computer weltweit beansprucht hat. Diese schändliche Abscheulichkeit entführt Ihre Suchmaschine in Ihrem Browser, ändert Ihre Homepage und am ärgerlichsten übernimmt sie Ihre Neue Tab-Seite, egal auf welche Einstellung Ihr Browser eingestellt ist.

Wir beginnen damit, uns das anzusehen, und zeigen Ihnen dann, wie Sie Process Explorer verwenden, um Fehler zu beheben, die auf gesperrte Dateien und Ordner hinweisen, die verwendet werden.

Anzeige

Und dann runden wir es mit einem weiteren Blick darauf ab, wie sich einige Adware heutzutage hinter Microsoft-Prozessen verbirgt, sodass sie im Prozess-Explorer oder Task-Manager legitim erscheinen, obwohl sie es wirklich nicht sind.

Untersuchen der Conduit Search-Malware

Wie bereits erwähnt, ist der Such-Hijacker von Conduit eines der hartnäckigsten, schrecklichsten und schrecklichsten Dinge, die wahrscheinlich fast jeder Ihrer Verwandten auf seinem Computer hat. Sie bündeln ihre Software auf zwielichtige Weise mit jeder Freeware, die sie können, und in vielen Fällen wird der Hijacker immer noch installiert, selbst wenn Sie sich dafür entscheiden, sich abzumelden.

Conduit installiert das sogenannte Search Protect, das angeblich verhindert, dass Schadsoftware Änderungen an Ihrem Browser vornimmt. Was sie nicht erwähnen, ist, dass es Sie auch daran hindert, Änderungen an ihrem Browser vorzunehmen, es sei denn, Sie verwenden ihr Search Protect-Panel, um diese Änderungen vorzunehmen, von denen die meisten Leute nichts wissen, da sie in der Taskleiste vergraben sind.

Conduit leitet nicht nur alle Ihre Suchen auf die eigene benutzerdefinierte Bing-Seite um, sondern legt diese auch als Ihre Startseite fest. Man muss davon ausgehen, dass Microsoft ihnen für all diesen Verkehr an Bing bezahlt, da sie auch einiges weitergeben ?pc=Leitung Argumenttyp in der Abfragezeichenfolge.

Fun Fact: Das Unternehmen hinter diesem Müll ist 1,5 Milliarden Dollar wert und JP Morgan hat 100 Millionen Dollar in sie investiert. Böse zu sein ist profitabel.

Conduit entführt die neue Registerkarte ... aber wie?

Ihre Suche und Startseite zu kapern ist für jede Malware trivial – hier verstärkt Conduit das Übel und schreibt die Seite „Neuer Tab“ irgendwie um, um sie dazu zu zwingen, Conduit anzuzeigen, selbst wenn Sie jede einzelne Einstellung ändern.

Anzeige

Sie können alle Ihre Browser deinstallieren oder sogar einen Browser installieren, den Sie zuvor nicht installiert haben, wie Firefox oder Chrome, und Conduit wird es dennoch schaffen, die Seite 'Neuer Tab' zu entführen.

Jemand sollte im Gefängnis sein, aber er ist wahrscheinlich auf einer Yacht.

Es braucht nicht viel Geek-Fähigkeiten, um schließlich abzuleiten, dass das Problem die Search Protect-Anwendung ist, die in der Taskleiste ausgeführt wird. Beenden Sie diesen Vorgang, und plötzlich öffnen sich Ihre neuen Registerkarten genau so, wie es der Browser-Hersteller beabsichtigt hat.

Aber wie genau geht das? In keinem der Browser sind Add-Ons oder Erweiterungen installiert. Es gibt keine Plugins. Die Registrierung ist sauber. Wie machen Sie das?

An dieser Stelle wenden wir uns an den Process Explorer, um einige Nachforschungen anzustellen. Zuerst finden wir den Search Protect-Prozess in der Liste, was einfach ist, da er richtig benannt ist. Wenn Sie sich jedoch nicht sicher sind, können Sie das Fenster jederzeit öffnen und das kleine Bullauge-Symbol neben dem verwenden Fernglas, um herauszufinden, welcher Prozess zu einem Fenster gehört.

Apple-TV-Benachrichtigungen deaktivieren

Jetzt können Sie einfach den entsprechenden Prozess auswählen, in diesem Fall einer der drei, die automatisch vom Windows-Dienst ausgeführt werden, den Conduit installiert. Woher wusste ich, dass es ein Windows-Dienst war, der ihn neu startet? Denn die Farbe dieser Reihe ist natürlich rosa. Ausgestattet mit diesem Wissen könnte ich den Dienst jederzeit stoppen oder löschen (obwohl Sie in diesem speziellen Fall einfach über Programme deinstallieren in der Systemsteuerung deinstallieren können).

Nachdem Sie den Prozess ausgewählt haben, können Sie die Tastenkombination STRG + H oder STRG + D verwenden, um die Handles-Ansicht oder die DLLs-Ansicht zu öffnen, oder Sie können das Menü Ansicht -> untere Fensteransicht verwenden, um dies zu tun.

Notiz: In der Windows-Welt ist ein Handle ein ganzzahliger Wert, der verwendet wird, um eine Ressource im Speicher wie ein Fenster, eine geöffnete Datei, einen Prozess oder viele andere Dinge eindeutig zu identifizieren. Jedes geöffnete Anwendungsfenster auf Ihrem Computer hat beispielsweise ein eindeutiges Fenster-Handle, mit dem darauf verwiesen werden kann.

DLLs oder Dynamic Link Libraries sind gemeinsam genutzte Teile kompilierten Codes, die in einer separaten Datei gespeichert werden, um von mehreren Anwendungen gemeinsam genutzt zu werden. Anstatt beispielsweise jede Anwendung ihre eigenen Dialoge zum Öffnen/Speichern von Dateien schreiben zu lassen, können alle Anwendungen einfach den gemeinsamen Dialogcode verwenden, der von Windows in der Datei comdlg32.dll bereitgestellt wird.

Anzeige

Ein paar Minuten durch die Liste der Handles zu schauen, brachte uns dem Geschehen ein wenig näher, denn wir fanden Handles zu Internet Explorer und Chrome, die beide derzeit auf dem Testsystem geöffnet sind. Wir haben definitiv bestätigt, dass Search Protect etwas mit unseren geöffneten Browserfenstern macht, aber wir müssen noch ein wenig mehr recherchieren, um genau herauszufinden, was genau passiert.

Als nächstes doppelklicken Sie auf den Prozess in der Liste, um die Detailansicht zu öffnen, und blättern Sie dann zur Registerkarte Image, die Ihnen Informationen zum vollständigen Pfad zur ausführbaren Datei, zur Befehlszeile und sogar zum Arbeitsordner. Wir klicken auf die Schaltfläche Durchsuchen, um einen Blick auf den Installationsordner zu werfen und zu sehen, was sich dort noch verbirgt.

Interessant! Wir haben hier eine Reihe von DLL-Dateien gefunden, aber aus irgendeinem seltsamen Grund wurde keine dieser DLL-Dateien in der DLL-Ansicht für den Search Protect-Prozess aufgeführt, als wir sie vorhin betrachteten. Dies könnte ein Problem sein.

Jedes Mal, wenn Sie sehen möchten, ob eine DLL-Datei derzeit von einer Anwendung auf Ihrem System verwendet wird, können Sie den Suchbereich öffnen, indem Sie zum Menü Suchen gehen, STRG + F drücken oder einfach auf das Fernglassymbol in der Symbolleiste klicken. Geben Sie nun einen Teil des Namens der DLL oder sogar den vollständigen Namen ein, wenn Sie möchten.

Wir haben uns entschieden, nur den Anfang, SPVC, zu suchen, da dies die gemeinsame Verbindung zwischen allen war, und tatsächlich sieht es so aus, als würden diese DLLs direkt in jeden der Browserprozesse geladen, die auf unserem Computer ausgeführt werden.

Das Anklicken eines der Elemente in der Liste und das Umschalten auf die Seite Threads bestätigten unsere Bedenken. Sowohl Chrome als auch Internet Explorer führten Threads aus, die die Dateien SPVC32.dll oder SPVC64.dll der Search Protect-Malware verwendeten, und auf diese Weise entführten sie unsere neue Registerkarte – nicht durch Ändern der Einstellungen, sondern durch Entführen des Browsers von innen.

Notiz: In Windows ist ein Thread das, was das Betriebssystem für die Ausführung Prozessorzeit zuweist. Ein Prozess in Windows ist das, was wir als Geeks und Systemadministratortypen bezeichnen, aber technisch gesehen sind Threads das einzige, was in Windows ausgeführt wird, keine Prozesse. Bestimmte Prozesse können nur einen Ausführungsthread haben, andere können jedoch viele Threads haben, die alle getrennt voneinander laufen und normalerweise mit einer Art von prozessinternem Kommunikationsmechanismus kommunizieren.

Chrome speichern Satz von Registerkarten
Anzeige

Sie können auch auf einen der Threads doppelklicken, um den vollständigen Ausführungsstapel anzuzeigen. Dies kann nützlich sein, um zu sehen, welche Funktionen aufgerufen werden, und versuchen, das Problem herauszufinden.

Sie fragen sich vielleicht, wie es der Search Protect-Anwendung gelungen ist, Google Chrome dazu zu bringen, diese DLL zu laden, und die Antwort ist, dass Windows eine Funktion namens DLL-Injektion bietet. Ein Prozess kann eine DLL in einen anderen Prozess einschleusen und dann bestimmte API-Funktionen kapern. Auf diese Weise überschreiben bestimmte Anwendungen Windows-Features oder Features in anderen Anwendungen. Es ist ein sehr kompliziertes Thema, auf das wir in dieser Lektion definitiv nicht eingehen können, aber wenn Sie wirklich mehr lesen möchten, Sie können diese Anleitung lesen .

Es ist auch erwähnenswert, dass Sie die CPU-Auslastung pro Thread sehen können, indem Sie diese Detailebene untersuchen, was bei der Fehlerbehebung bei einer Anwendung mit Plugins sehr nützlich sein kann. Sie könnten dies verwenden, um herauszufinden, dass eine bestimmte DLL-Datei zu viel Prozessorzeit beansprucht, und dann etwas recherchieren, wozu diese Komponente gehört.

Umgang mit gesperrten Dateien oder Ordnern

Da es unwahrscheinlich ist, dass Sie ständig Malware untersuchen, ist es auch hilfreich, den Process Explorer für andere Aufgaben zu verwenden, z von einem anderen Prozess verwendet wird, insbesondere wenn Sie sich nicht sicher sind, welcher Prozess ihn sperrt.

Wenn Sie einen solchen Fehler erhalten, gehen Sie einfach zum Process Explorer, öffnen Sie die Suche mit STRG + F oder dem Symbol und geben Sie dann den Namen des oben aufgeführten Ordners ein (oder einen aussagekräftigeren vollständigen Pfad, wenn der Name sehr lautet) vage).

Sie werden sehr schnell einen Prozess in der Liste sehen, in dem Ihre Datei oder Ihr Ordner geöffnet ist, und Sie können darauf doppelklicken, um den Prozess in der Liste zu identifizieren.

So scannen Sie den Walmart-Beleg

Anzeige

Ihre unmittelbare Reaktion könnte darin bestehen, diesen Prozess einfach abzuschließen, aber Sie müssen das nicht unbedingt tun. Sie können auch mit der rechten Maustaste auf die Datei oder den Ordner in der Liste der Handles klicken (verwenden Sie die Option STRG + H, um die Liste der Handles anzuzeigen) und die Option Handle schließen auswählen. Diese Ressource ist jetzt freigeschaltet!

Notiz: Wenn Sie etwas löschen, ist dies eine vollkommen gute Option, aber wenn Sie nur versuchen, dieses Element zu bearbeiten oder zu verschieben, sollten Sie wahrscheinlich die betreffende Anwendung öffnen und dort damit umgehen, damit Sie keine Daten verlieren.

Erforschung von Prozessen, die sicher aussehen, aber nicht sind

Bei unserer Malware-Recherche haben wir ein weiteres Problem festgestellt, das immer häufiger vorkommt. Es ist daher ratsam, es in Zukunft im Auge zu behalten. Was ist das Problem? Malware versteckt sich hinter legitimen Windows-Prozessen und leistet gute Arbeit.

Das Problem ist das Windows-Dienstprogramm rundll32.exe, mit dem beliebig Funktionen aus DLL-Dateien ausgeführt werden können. Da dieses Dienstprogramm von Microsoft signiert ist, wird es in der Liste als vollständig legitimer Prozess angezeigt, aber in Wirklichkeit verschieben sie nur ihren gesamten Malware-/Adware-Code in eine .DLL-Datei anstelle einer .EXE-Datei, und dann Laden Sie die Malware stattdessen mit rundll32.exe. Wenn Sie sehen, dass rundll32.exe als eigener Prozess in der unten gezeigten hellblauen Farbe ausgeführt wird, ist dies fast immer etwas, das nicht ausgeführt werden sollte.

Im folgenden Beispiel können Sie sehen, dass, obwohl wir die Funktion Verified Signer verwendet haben, um dieses Element zu validieren, wenn wir mit der Maus darüber fahren und den vollständigen Pfad betrachten, es tatsächlich eine DLL lädt, die sich als Teil einer Adware herausstellt Produkt.

Notiz: Bevor Sie anfangen zu schreien, einen Antiviren-Scan durchzuführen, werden wir feststellen, dass wir dies getan haben und nichts zurückgebracht hat. Ein Großteil dieser Crapware, Adware und Spyware wird von Antivirenprogrammen ignoriert.

Anzeige

Ein Doppelklick, um die Details zu öffnen, zeigt mehr von dem Problem, und wir können auch das Verzeichnis sehen, aus dem die Badware nicht mehr läuft, das wir zur weiteren Untersuchung verwenden werden.

In diesem Verzeichnis fanden wir eine Reihe von Dateien, die ständig im Hintergrund aktualisiert wurden.

Der Rest der Untersuchung führte zu einigen anderen Tools, die keine SysInternals waren und auf die wir wahrscheinlich zu einem späteren Zeitpunkt eingehen werden, aber es genügt zu sagen, dass dies nur eine Malware ist, die in Verbindung mit einer anderen Crapware-Anwendung ausgeführt wurde .

Der wichtige Punkt hierbei ist, dass sich Malware hinter legitimen ausführbaren Windows-Dateien verstecken kann. Halten Sie also nach ähnlichen Dingen Ausschau.

Als nächstes kommt

Bleiben Sie morgen dran, um noch mehr Wissen über SysInternals zu erhalten, da wir Ihnen zeigen, wie Sie mit dem Process Monitor-Dienstprogramm verfolgen, was Anwendungen hinter den Kulissen tatsächlich tun. Es wird einem die Augen öffnen.

WEITER LESEN
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
  • & rsaquo; Cyber ​​Monday 2021: Die besten Tech-Deals
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
  • › Was ist MIL-SPEC Fallschutz?
  • › So finden Sie Ihr Spotify Wrapped 2021
Profilfoto für Lowell Heddings Lowell Heddings
Lowell ist Gründer und CEO von How-To Geek. Er leitet die Show seit der Erstellung der Site im Jahr 2006. In den letzten zehn Jahren hat Lowell persönlich mehr als 1000 Artikel geschrieben, die von über 250 Millionen Menschen angesehen wurden. Bevor Lowell mit How-To Geek begann, arbeitete er 15 Jahre lang in der IT mit Beratungs-, Cybersicherheits-, Datenbankmanagement- und Programmierarbeiten.
Vollständige Biografie lesen