Uso de Process Explorer para solucionar problemas y diagnosticar

Tabla de contenido:

Video: Uso de Process Explorer para solucionar problemas y diagnosticar

Video: Uso de Process Explorer para solucionar problemas y diagnosticar
Video: Los mejores trucos de Alexa para dominar tu Amazon Echo en 2023 🪄 2024, Marcha
Uso de Process Explorer para solucionar problemas y diagnosticar
Uso de Process Explorer para solucionar problemas y diagnosticar
Anonim
Comprender cómo funcionan los diálogos y las opciones de Process Explorer es bueno y está bien, pero ¿qué hay de usarlo para solucionar problemas o diagnosticar un problema? La lección de Geek School de hoy tratará de ayudarte a aprender cómo hacerlo.
Comprender cómo funcionan los diálogos y las opciones de Process Explorer es bueno y está bien, pero ¿qué hay de usarlo para solucionar problemas o diagnosticar un problema? La lección de Geek School de hoy tratará de ayudarte a aprender cómo hacerlo.

NAVEGACION ESCOLAR

  1. ¿Qué son las herramientas de SysInternals y cómo las usa?
  2. Entendiendo el Explorador de Procesos
  3. Uso de Process Explorer para solucionar problemas y diagnosticar
  4. Comprensión del monitor de proceso
  5. Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
  6. Uso de Autoruns para lidiar con procesos de inicio y Malware
  7. Uso de BgInfo para mostrar información del sistema en el escritorio
  8. Uso de PsTools para controlar otras PC desde la línea de comandos
  9. Analizar y administrar sus archivos, carpetas y unidades
  10. Envolviendo y usando las herramientas juntas

No hace mucho, comenzamos a investigar todo tipo de malware y crapware que se instala automáticamente cada vez que no prestas atención al instalar el software. Casi todas las piezas de software gratuito en el mercado, incluidas las de "buena reputación", están agrupando barras de herramientas, buscando piratería de secuestro o adware, y algunas de ellas son difíciles de solucionar.

Hemos visto muchas computadoras de personas que conocemos que tienen tanto spyware y adware instalados que la PC ya casi no se carga. Tratar de cargar el navegador web, especialmente, es casi imposible, ya que todo el software de seguimiento y adware compite por los recursos para robar su información privada y venderla al mejor postor.

Así que, naturalmente, queríamos investigar un poco cómo funcionan algunos de estos, y no hay un mejor lugar para comenzar que el malware de Conduit Search, que ha reclamado cientos de millones de computadoras en todo el mundo. Esta tristeza nefasta secuestra su motor de búsqueda en su navegador, cambia su página de inicio y, lo que es más molesto, se apodera de su página de Nueva pestaña, sin importar en qué esté configurado su navegador.

Comenzaremos observando eso, y luego le mostraremos cómo usar Process Explorer para solucionar errores que hablan de archivos bloqueados y carpetas que están en uso.

Y luego lo resumiremos con otra mirada de cómo algunos adware en estos días se ocultan detrás de los procesos de Microsoft para que parezcan legítimos en Process Explorer o Task Manager, aunque realmente no lo estén.

Investigando el Malware de Búsqueda de Conductos

Como mencionamos, el secuestrador de búsqueda de Conduit es una de las cosas más persistentes, terribles y terribles que probablemente cada uno de sus parientes tenga en su computadora. Combinan su software de manera no intencional con cualquier programa gratuito que puedan y, en muchos casos, incluso si selecciona la opción de exclusión voluntaria, el secuestrador seguirá instalado.

Conduit instala lo que ellos llaman "Protección de búsqueda", que según ellos evitan que el malware realice cambios en su navegador. Lo que no mencionan es que también le impide realizar cambios en su navegador a menos que use su panel de Protección de búsqueda para realizar esos cambios, que la mayoría de las personas no conocerán, ya que están enterrados en la bandeja del sistema.

Conduit no solo redirigirá todas sus búsquedas a su propia página de Bing personalizada, sino que la configurará como su página de inicio. Habría que asumir que Microsoft les está pagando todo este tráfico a Bing, ya que también están pasando algo ? pc = conducto Tipo de argumentos en la cadena de consulta.

Dato curioso: la compañía detrás de este pedazo de basura vale 1.5 mil millones de dólares y JP Morgan invirtió $ 100 millones en ellos. Ser malvado es rentable.

Conduit secuestra la nueva página de pestañas … ¿pero cómo?

El secuestro de su búsqueda y página de inicio es trivial para cualquier malware: aquí es donde Conduit intensifica el mal y de alguna manera reescribe la página Nueva pestaña para forzarla a mostrar Conduit, incluso si cambia cada configuración.

Puedes desinstalar todos tus navegadores, o incluso instalar un navegador que no tenías instalado antes, como Firefox o Chrome, y Conduit todavía se las arreglará para secuestrar la página Nueva pestaña.

No se necesita mucho en términos de habilidades geek para deducir que el problema es la aplicación Search Protect que se ejecuta en la bandeja del sistema. Elimine ese proceso y, de repente, las nuevas pestañas se abren de la forma que pretendía el creador del navegador.
No se necesita mucho en términos de habilidades geek para deducir que el problema es la aplicación Search Protect que se ejecuta en la bandeja del sistema. Elimine ese proceso y, de repente, las nuevas pestañas se abren de la forma que pretendía el creador del navegador.
Pero, ¿cómo, exactamente, hace esto? No hay complementos o extensiones instaladas en ninguno de los navegadores. No hay complementos. El registro está limpio. ¿Cómo lo hicieron?
Pero, ¿cómo, exactamente, hace esto? No hay complementos o extensiones instaladas en ninguno de los navegadores. No hay complementos. El registro está limpio. ¿Cómo lo hicieron?

Aquí es donde recurrimos a Process Explorer para hacer una investigación. Primero, encontraremos el proceso de Protección de búsqueda en la lista, que es bastante fácil porque está debidamente nombrado, pero si no estuviera seguro, siempre puede abrir la ventana y usar el pequeño icono de ojo de buey al lado de Binoculares para averiguar qué proceso pertenece a una ventana.

Ahora simplemente puede seleccionar el proceso apropiado, que en este caso fue uno de los tres que se ejecutan automáticamente por el Servicio de Windows que Conduit instala. ¿Cómo supe que era un servicio de Windows que lo reinicia? Porque el color de esa fila es rosa, por supuesto. Con ese conocimiento, siempre podría detener o eliminar el servicio (aunque en este caso particular, simplemente puede desinstalar desde Desinstalar programas en el Panel de control).
Ahora simplemente puede seleccionar el proceso apropiado, que en este caso fue uno de los tres que se ejecutan automáticamente por el Servicio de Windows que Conduit instala. ¿Cómo supe que era un servicio de Windows que lo reinicia? Porque el color de esa fila es rosa, por supuesto. Con ese conocimiento, siempre podría detener o eliminar el servicio (aunque en este caso particular, simplemente puede desinstalar desde Desinstalar programas en el Panel de control).

Ahora que ha seleccionado el proceso, puede usar las teclas de acceso directo CTRL + H o CTRL + D para abrir la vista de Manijas o la vista de DLL, o puede usar el menú Ver -> Vista del panel inferior para hacerlo.

Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.

DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.

Revisar la lista de identificadores durante unos minutos nos acercó un poco más a lo que estaba sucediendo, porque encontramos identificadores para Internet Explorer y Chrome, ambos de los cuales están actualmente abiertos en el sistema de prueba. Definitivamente hemos confirmado que Search Protect está haciendo algo con nuestras ventanas abiertas del navegador, pero tendremos que investigar un poco más para averiguar qué es exactamente.

Recomendado: