Process Explorerを使用したトラブルシューティングと診断

Process Explorerのダイアログとオプションがどのように機能するのかを理解することは、すべてうまくいきますが、実際のトラブルシューティングや問題の診断に使用することについてはどうでしょうか。今日のオタク学校のレッスンはあなたがまさにそれをする方法を学ぶのを試みて、手助けするでしょう.

学校のナビゲーション

1. SysInternalsツールとは何ですか？?
2. プロセスエクスプローラについて
3. Process Explorerを使用したトラブルシューティングと診断
4. プロセスモニタについて
5. Process Monitorを使用したトラブルシューティングとレジストリハッキングの発見
6. 自動実行を使用して起動プロセスとマルウェアを処理する
7. BgInfoを使ってデスクトップにシステム情報を表示する
8. PsToolsを使用してコマンドラインから他のPCを制御する
9. ファイル、フォルダ、ドライブの分析と管理
10. ツールをまとめて使用する

それほど前のことではありませんが、ソフトウェアのインストール中に注意を払わなくても自動的にインストールされるあらゆる種類のマルウェアやクラップウェアの調査を開始しました。 「評判の良い」ものを含め、市場に出回っているほぼすべてのフリーウェアは、ツールバーのバンドル、悪用のハイジャック、またはアドウェアの検索であり、その一部はトラブルシューティングが困難です。.

スパイウェアやアドウェアが大量にインストールされていて、PCがもうほとんどロードできなくなっていることを私たちが知っている人の中にはたくさんのコンピュータがあります。特に、Webブラウザをロードしようとするのはほとんど不可能です。アドウェアや追跡ソフトウェアはすべて、あなたの個人情報を盗んで最高入札者に売るためにリソースを奪い合うからです。.

そのため、当然のことながら、これらの機能の動作について少し調査したいと考えています。世界で何億ものコンピュータを攻撃してきたConduit Searchマルウェア以外には、起動するのに適した場所はありません。この悪意あるひどさはあなたのブラウザのあなたのサーチエンジンを乗っ取って、あなたのホームページを変えます、そして最も厄介なことに、それはあなたのブラウザが何に設定されていようともあなたの新しいタブページを引き継ぎます.

それを見ることから始めます。次に、Process Explorerを使用して、ロックされているファイルや使用中のフォルダに関するエラーをトラブルシューティングする方法を紹介します。.

次に、最近のアドウェアがMicrosoftプロセスの背後に隠れていることを確認し、Process ExplorerやTask Managerには合法的に見えていることを確認します。.

コンジット検索マルウェアの調査

私達が述べたように、コンジット検索ハイジャック犯はあなたの近親者のほぼ一人一人がおそらく彼らのコンピュータに持っている最も持続的で、ひどく、そしてひどいものの一つです。彼らは自分たちのソフトウェアを彼らがすることができるどんなフリーウェアとも陰にならない方法でバンドルし、そしてあなたがオプトアウトを選ぶことを選んだとしても、ハイジャック犯はまだインストールされるでしょう.

コンジットは彼らが「Search Protect」と呼ぶものをインストールします、そしてそれは彼らが主張するそれはマルウェアがあなたのブラウザに変更を加えるのを防ぎます。彼らが言及していないことは、あなたがそれらの変更をするために彼らのSearch Protectパネルを使用しない限りあなたが彼らのブラウザにいかなる変更も加えることを妨げるということです。.

Conduitはあなたのすべての検索を自分のカスタムBingページにリダイレクトするだけでなく、それをあなたのホームページとしても設定します。 MicrosoftはこのトラフィックのすべてをBingに支払っていると想定する必要があります。 ?pc =コンジット クエリ文字列内の引数の型.

楽しい事実：このゴミの背後にある会社は15億ドルの価値があり、JP Morganは1億ドルを投資しました。悪であることは有益です.

コンジットが新しいタブページを乗っ取る…しかしどのように?

検索やホームページをハイジャックすることはどんなマルウェアにとっても些細なことです - これはConduitが悪を強化し、何らかの設定を変更したとしても何らかの形で新しいタブページを書き換えてConduitを表示させる場合です。.

FirefoxやChromeのように、すべてのブラウザをアンインストールすることも、以前にインストールしたことのないブラウザをインストールすることもできます。Conduitは依然として新しいタブページをハイジャックすることに成功します.

誰かが刑務所に入っているはずですが、彼らはおそらくヨットに乗っています.

問題がシステムトレイで実行されているSearch Protectアプリケーションであると最終的に推測するのにオタクスキルの点でそれほど多くはかかりません。そのプロセスを終了すると、突然ブラウザのメーカーが意図したとおりに新しいタブが開きます。.

しかし、それはどのようにして、正確にはこれを行うのでしょうか。どのブラウザにもアドオンや拡張機能はインストールされていません。プラグインはありません。レジストリはきれいです。どうやってやっているの?

ここで、私たちが調査を行うためにProcess Explorerに目を向けます。まず、Search Protectプロセスがリストに表示されます。これは適切な名前が付けられているため簡単ですが、よくわからない場合は、ウィンドウを開いてその隣にある小さな雄牛の目のアイコンを使用できます。どのプロセスがウィンドウに属しているかを調べるための双眼鏡.

これで、適切なプロセスを選択することができます。この場合、ConduitがインストールするWindowsサービスによって自動的に実行される3つのうちの1つです。それが再起動するのはWindowsサービスであることをどのようにして知りましたか？その行の色はもちろんピンクです。その知識を持って、私はいつでもサービスを停止するか削除することができます（ただし、この場合は、コントロールパネルの[プログラムのアンインストール]から単にアンインストールできます）。.

プロセスを選択したので、Ctrlキーを押しながらHキーまたはCtrlキーを押しながらDキーを押して[ハンドル]ビューまたは[DLL]ビューを開くか、[表示] - > [下部ペイン]メニューを使用します。.

注意： Windowsの世界では、「ハンドル」とは、ウィンドウ、開いているファイル、プロセスなど、メモリ内のリソースを一意に識別するために使用される整数値です。たとえば、コンピュータ上で開いている各アプリケーションウィンドウには、それを参照するために使用できる固有の「ウィンドウハンドル」があります。.

DLL、またはダイナミックリンクライブラリは、複数のアプリケーション間で共有するために、別々のファイルに格納されているコンパイル済みコードの一部です。たとえば、すべてのアプリケーションに独自の[ファイルを開く/保存]ダイアログを作成させる代わりに、すべてのアプリケーションがWindowsによってcomdlg32.dllファイルに提供されている共通のダイアログコードを使用することができます。.

ハンドルのリストを数分間見ると、Internet ExplorerとChromeのハンドルが見つかりました。どちらも現在テストシステムで開かれているため、発生しているものに少し近づきました。 Search Protectが私たちの開いているブラウザウィンドウに何かをしていることを確かに確認しました、しかし我々は正確に何を正確に理解するためにもう少し研究をする必要があるでしょう.

次にやるべきことは、リスト内のプロセスをダブルクリックして詳細ビューを開き、次にImageタブに切り替えると、実行可能ファイルへのフルパス、コマンドライン、さらには作業フォルダ[Explore]ボタンをクリックしてインストールフォルダを調べ、そこに隠れているものを確認します。.

面白い！ここではいくつかのDLLファイルが見つかりましたが、奇妙な理由でこれらのDLLファイルがSearch ProtectプロセスのDLLビューに表示されていなかったため、先ほど見たことがあります。これは問題になるかもしれません.

次のページ：ロックされたファイルとフォルダの取り扱い