Connect with us

Schule

Verwenden des Prozess-Explorers zur Fehlerbehebung und Diagnose

Verwenden des Prozess-Explorers zur Fehlerbehebung und Diagnose

Es ist in Ordnung und gut zu verstehen, wie die Dialoge und Optionen von Process Explorer funktionieren. Wie wäre es jedoch damit, sie zur tatsächlichen Fehlerbehebung oder zur Diagnose eines Problems zu verwenden? Die heutige Geek School-Lektion wird versuchen, Ihnen dabei zu helfen, genau das zu lernen.

Vor nicht allzu langer Zeit haben wir begonnen, alle Arten von Malware und Crapware zu untersuchen, die automatisch installiert werden, wenn Sie bei der Installation der Software nicht darauf achten. Nahezu jede Freeware auf dem Markt, einschließlich der „seriösen“, bündelt Symbolleisten, Suchentführungen oder Adware, und einige davon sind schwer zu beheben.

Wir haben viele Computer von Leuten gesehen, von denen wir wissen, dass sie so viel Spyware und Adware installiert haben, dass der PC kaum noch geladen wird. Insbesondere der Versuch, den Webbrowser zu laden, ist nahezu unmöglich, da die gesamte Adware- und Tracking-Software um Ressourcen konkurriert, um Ihre privaten Informationen zu stehlen und an den Meistbietenden zu verkaufen.

Daher wollten wir natürlich ein wenig untersuchen, wie einige dieser Funktionen funktionieren, und es gibt keinen besseren Ausgangspunkt als die Conduit Search-Malware, die weltweit Hunderte Millionen Computer beansprucht. Diese schändliche Schrecklichkeit entführt Ihre Suchmaschine in Ihrem Browser, ändert Ihre Homepage und übernimmt am ärgerlichsten Ihre neue Registerkarte, unabhängig davon, auf was Ihr Browser eingestellt ist.

Wir werden uns das zunächst ansehen und Ihnen dann zeigen, wie Sie mit Process Explorer Fehler beheben, die sich auf gesperrte Dateien und Ordner beziehen, die verwendet werden.

Abgerundet wird dies durch einen weiteren Blick darauf, wie sich einige Adware-Programme heutzutage hinter Microsoft-Prozessen verstecken, sodass sie im Process Explorer oder im Task-Manager als legitim erscheinen, obwohl dies wirklich nicht der Fall ist.

Untersuchung der Conduit Search-Malware

Wie bereits erwähnt, ist der Conduit-Suchentführer eines der hartnäckigsten, schrecklichsten und schrecklichsten Dinge, die wahrscheinlich fast jeder Ihrer Verwandten auf seinem Computer hat. Sie bündeln ihre Software auf zwielichtige Weise mit jeder Freeware, die sie können, und in vielen Fällen wird der Hijacker auch dann installiert, wenn Sie sich für die Deaktivierung entscheiden.

Conduit installiert das, was sie „Search Protect“ nennen, und verhindert, dass Malware Änderungen an Ihrem Browser vornimmt. Was sie nicht erwähnen, ist, dass es Sie auch daran hindert, Änderungen an ihrem Browser vorzunehmen, es sei denn, Sie verwenden das Suchschutzfenster, um diese Änderungen vorzunehmen, von denen die meisten Menschen nichts wissen, da sie in der Taskleiste vergraben sind.

Conduit leitet nicht nur alle Ihre Suchanfragen auf die eigene benutzerdefinierte Bing-Seite um, sondern legt diese auch als Startseite fest. Man müsste davon ausgehen, dass Microsoft sie für den gesamten Datenverkehr an Bing bezahlt, da sie auch einige Argumente in der Abfragezeichenfolge übergeben.

Conduit entführt die neue Registerkarte… aber wie?

Das Entführen Ihrer Such- und Startseite ist für jede Malware trivial. Hier verstärkt Conduit das Böse und schreibt die Seite „Neuer Tab“ neu, um zu erzwingen, dass Conduit angezeigt wird, selbst wenn Sie jede einzelne Einstellung ändern.

Sie können alle Ihre Browser deinstallieren oder sogar einen Browser installieren, den Sie zuvor noch nicht installiert haben, z. B. Firefox oder Chrome. Conduit kann die Seite „Neuer Tab“ weiterhin entführen.

Jemand sollte im Gefängnis sein, aber sie sind wahrscheinlich auf einer Yacht.

In Bezug auf Geek-Kenntnisse ist nicht viel erforderlich, um daraus zu schließen, dass das Problem in der Search Protect-Anwendung liegt, die in der Taskleiste ausgeführt wird. Beenden Sie diesen Vorgang, und plötzlich öffnen sich Ihre neuen Registerkarten genau so, wie es der Browser-Hersteller beabsichtigt hat.

Aber wie genau macht es das? In keinem der Browser sind Add-Ons oder Erweiterungen installiert. Es gibt keine Plugins. Die Registrierung ist sauber. Wie machen Sie das?

Hier wenden wir uns an Process Explorer, um Nachforschungen anzustellen. Zuerst finden wir den Suchschutzprozess in der Liste, der einfach genug ist, da er richtig benannt ist. Wenn Sie sich nicht sicher sind, können Sie jederzeit das Fenster öffnen und das kleine Bullauge-Symbol neben dem verwenden Fernglas, um herauszufinden, welcher Prozess zu einem Fenster gehört.

Jetzt können Sie einfach den entsprechenden Prozess auswählen. In diesem Fall war dies einer der drei Prozesse, die automatisch von dem von Conduit installierten Windows-Dienst ausgeführt werden. Woher wusste ich, dass es sich um einen Windows-Dienst handelt, der ihn neu startet? Weil die Farbe dieser Reihe natürlich rosa ist. Mit diesem Wissen konnte ich den Dienst jederzeit beenden oder löschen (obwohl Sie in diesem speziellen Fall einfach über Programme in der Systemsteuerung deinstallieren können).

Nachdem Sie den Prozess ausgewählt haben, können Sie mit den Tastenkombinationen STRG + H oder STRG + D die Ansicht Handles oder DLLs öffnen oder das Menü Ansicht -> Ansicht im unteren Bereich verwenden.

In der Windows-Welt ist ein „Handle“ ein ganzzahliger Wert, mit dem eine Ressource im Speicher wie ein Fenster, eine geöffnete Datei, ein Prozess oder viele andere Dinge eindeutig identifiziert werden. Jedes geöffnete Anwendungsfenster auf Ihrem Computer verfügt beispielsweise über ein eindeutiges „Fensterhandle“, mit dem Sie darauf verweisen können.

DLLs oder dynamische Linkbibliotheken sind gemeinsam genutzte Teile des kompilierten Codes, die in einer separaten Datei gespeichert werden, die von mehreren Anwendungen gemeinsam genutzt werden kann. Anstatt dass jede Anwendung ihre eigenen Dialogfelder zum Öffnen / Speichern von Dateien schreibt, können alle Anwendungen einfach den von Windows in der Datei comdlg32.dll bereitgestellten allgemeinen Dialogcode verwenden.

Das Durchsuchen der Liste der Handles für ein paar Minuten brachte uns ein wenig näher an das, was vor sich ging, da wir Handles für Internet Explorer und Chrome gefunden haben, die beide derzeit auf dem Testsystem geöffnet sind. Wir haben definitiv bestätigt, dass Search Protect etwas mit unseren geöffneten Browserfenstern tut, aber wir müssen etwas mehr Nachforschungen anstellen, um genau herauszufinden, was passiert.

Als Nächstes doppelklicken Sie auf den Prozess in der Liste, um die Detailansicht zu öffnen, und wechseln Sie dann zur Registerkarte Bild, auf der Sie Informationen zum vollständigen Pfad zur ausführbaren Datei, zur Befehlszeile und sogar zur Datei erhalten Arbeitsordner. Wir klicken auf die Schaltfläche Durchsuchen, um einen Blick auf den Installationsordner zu werfen und zu sehen, was sich dort noch versteckt.

Interessant! Wir haben hier eine Reihe von DLL-Dateien gefunden, aber aus irgendeinem seltsamen Grund wurde keine dieser DLL-Dateien in der DLL-Ansicht für den Search Protect-Prozess aufgeführt, als wir sie uns zuvor angesehen haben. Dies könnte ein Problem sein.

Wenn Sie sehen möchten, ob eine DLL-Datei derzeit von einer Anwendung auf Ihrem System verwendet wird, können Sie den Suchbereich öffnen, indem Sie im Menü Suchen auf STRG + F klicken oder einfach auf das Fernglas-Symbol in der Symbolleiste klicken. Geben Sie nun einen Teil des Namens der DLL oder sogar den vollständigen Namen ein, wenn Sie möchten.

Wir haben uns nur für den Anfang entschieden, „SPVC“, da dies die gemeinsame Verbindung zwischen allen war und es sicher so aussieht, als würden diese DLLs direkt in jeden der auf unserem Computer ausgeführten Browserprozesse geladen.

Durch Klicken auf eines der Elemente in der Liste und Umschalten auf die Seite „Threads“ wurde bestätigt, worüber wir uns Sorgen machten. Sowohl Chrome als auch Internet Explorer führten Threads mit den Dateien SPVC32.dll oder SPVC64.dll aus der Search Protect-Malware aus. Auf diese Weise entführten sie unsere neue Registerkarte – nicht durch Ändern der Einstellungen, sondern durch Entführen des Browsers von innen.

In Windows ist ein Thread das, was das Betriebssystem der Prozessorzeit zum Ausführen zuweist. Ein Prozess in Windows ist das, was wir als Geeks und Systemadministratortypen betrachten, aber technisch gesehen sind Threads das einzige, was in Windows ausgeführt wird, keine Prozesse. Bestimmte Prozesse haben möglicherweise nur einen Ausführungsthread, andere haben möglicherweise viele Threads, die alle getrennt voneinander ausgeführt werden und normalerweise mit einer Art prozessbegleitendem Kommunikationsmechanismus kommunizieren.

Sie können auch auf einen der Threads doppelklicken, um den vollständigen Ausführungsstapel anzuzeigen. Dies kann hilfreich sein, um zu sehen, welche Funktionen aufgerufen werden, und um herauszufinden, wo das Problem liegt.

Sie fragen sich möglicherweise, wie die Search Protect-Anwendung es geschafft hat, Google Chrome zum Laden dieser DLL zu bewegen, und die Antwort lautet, dass Windows eine Funktion namens DLL Injection bereitstellt. Ein Prozess kann eine DLL in einen anderen Prozess einfügen und dann bestimmte API-Funktionen entführen. Auf diese Weise überschreiben bestimmte Anwendungen Windows-Funktionen oder Funktionen in anderen Anwendungen. Es ist ein sehr kompliziertes Thema, auf das wir in dieser Lektion definitiv nicht eingehen können, aber wenn Sie wirklich mehr lesen möchten, Sie können diese Anleitung lesen.

Es ist auch erwähnenswert, dass Sie die CPU-Auslastung pro Thread sehen können, indem Sie sich mit dieser Detailebene befassen. Dies kann bei der Fehlerbehebung bei einer Anwendung mit Plugins sehr hilfreich sein. Sie können dies verwenden, um herauszufinden, dass eine bestimmte DLL-Datei zu viel Prozessorzeit beansprucht, und dann einige Nachforschungen darüber anstellen, wozu diese Komponente gehört.

Umgang mit gesperrten Dateien oder Ordnern

Da es unwahrscheinlich ist, dass Sie ständig nach Malware suchen, ist es auch hilfreich, Process Explorer für andere Aufgaben zu verwenden, z. B. für die Verwendung der verwendeten Dialogfelder, die Sie jederzeit verwenden können, wenn Sie versuchen, eine Datei zu löschen, zu verschieben oder zu ändern Ordner, der von einem anderen Prozess verwendet wird, insbesondere wenn Sie nicht sicher sind, welcher Prozess ihn blockiert.

Wenn Sie eine solche Fehlermeldung erhalten, gehen Sie einfach zum Prozess-Explorer, öffnen Sie die Suche mit STRG + F oder dem Symbol und geben Sie den Namen des oben aufgeführten Ordners ein (oder einen aussagekräftigeren vollständigen Pfad, wenn der Name sehr ist vage).

In der Liste, in der Ihre Datei oder Ihr Ordner geöffnet ist, wird sehr schnell ein Prozess angezeigt, und Sie können darauf doppelklicken, um den Prozess in der Liste zu identifizieren.

Ihre unmittelbare Reaktion könnte darin bestehen, diesen Prozess einfach abzuschließen, aber das müssen Sie nicht unbedingt tun. Sie können auch mit der rechten Maustaste auf die Datei oder den Ordner in der Liste der Handles klicken (Verwenden Sie die Option STRG + H, um die Liste der Handles aufzurufen) und die Option Handle schließen auswählen. Diese Ressource ist jetzt freigeschaltet!

Wenn Sie etwas löschen, ist dies eine vollkommen gute Option. Wenn Sie jedoch nur versuchen, dieses Element zu bearbeiten oder zu verschieben, sollten Sie wahrscheinlich die fehlerhafte Anwendung öffnen und dort damit umgehen, damit Sie keine Daten verlieren.

Prozesse erforschen, die sicher aussehen, aber nicht sicher sind

Während unserer Malware-Recherche haben wir ein weiteres Problem festgestellt, das immer häufiger auftritt. Es ist daher ratsam, es in Zukunft im Auge zu behalten. Was ist das für ein Problem? Malware versteckt sich hinter legitimen Windows-Prozessen und leistet gute Arbeit.

Das Problem ist das Windows-Dienstprogramm rundll32.exe, mit dem Funktionen beliebig aus DLL-Dateien ausgeführt werden können. Da dieses Dienstprogramm von Microsoft signiert ist, wird es in der Liste als völlig legitimer Prozess angezeigt. In Wirklichkeit verschieben sie jedoch nur den gesamten Malware- / Adware-Code in eine DLL-Datei anstelle einer EXE-Datei und dann Laden Sie stattdessen die Malware mit rundll32.exe. Wenn Sie sehen, dass rundll32.exe als „eigener Prozess“ in der unten gezeigten hellblauen Farbe ausgeführt wird, sollte dies fast immer nicht ausgeführt werden.

Im folgenden Beispiel sehen Sie, dass, obwohl wir die Funktion „Verifizierter Unterzeichner“ zur Validierung dieses Elements verwendet haben, beim Bewegen des Mauszeigers über den vollständigen Pfad tatsächlich eine DLL geladen wird, die sich als Teil einer Adware herausstellt Produkt.

Bevor Sie anfangen, über das Ausführen eines Antivirenscans zu schreien, werden wir feststellen, dass wir dies getan haben und es mit nichts zurückgekommen ist. Ein Großteil dieser Crapware, Adware und Spyware wird von Antiviren-Dienstprogrammen ignoriert.

Ein Doppelklick, um die Details zu öffnen, zeigt mehr von dem Problem, und wir können auch das Verzeichnis sehen, aus dem die Badware ausgeht, das wir zur weiteren Untersuchung verwenden werden.

In diesem Verzeichnis fanden wir eine Reihe von Dateien, die im Hintergrund ständig aktualisiert wurden.

Der Rest der Untersuchung führte zu einigen anderen Tools, die nicht SysInternals waren und die wir wahrscheinlich zu einem späteren Zeitpunkt behandeln werden. Es genügt jedoch zu sagen, dass dies nur eine Malware ist, die in Verbindung mit einer anderen Crapware-Anwendung ausgeführt wurde .

Der wichtige Punkt hierbei ist, dass sich Malware hinter legitimen ausführbaren Windows-Dateien verstecken kann. Halten Sie also die Augen nach ähnlichen Dingen offen.

Als nächstes

Bleiben Sie morgen auf dem Laufenden, um noch mehr über SysInternals zu erfahren. Wir zeigen Ihnen, wie Sie mit dem Dienstprogramm Process Monitor verfolgen können, was Anwendungen tatsächlich hinter den Kulissen tun. Es wird die Augen öffnen.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia