TRƯỜNG HƯỚNG DẪN
- Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
- Tìm hiểu về Process Explorer
- Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
- Hiểu quy trình giám sát
- Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
- Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
- Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
- Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
- Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
- Kết hợp và sử dụng các công cụ cùng nhau
Cách đây không lâu, chúng tôi đã bắt đầu điều tra tất cả các loại phần mềm độc hại và crapware được cài đặt tự động bất cứ lúc nào bạn không chú ý khi cài đặt phần mềm. Gần như mọi phần mềm miễn phí trên thị trường, bao gồm cả các phần mềm "có uy tín", là các thanh công cụ nhóm, tìm kiếm sự khủng khiếp hoặc phần mềm quảng cáo tìm kiếm và một số khó khắc phục sự cố.
Chúng tôi đã thấy nhiều máy tính từ những người mà chúng tôi biết rằng có quá nhiều phần mềm gián điệp và phần mềm quảng cáo được cài đặt mà PC thậm chí không tải được nữa. Cố gắng tải trình duyệt web, đặc biệt là gần như không thể, vì tất cả phần mềm quảng cáo và phần mềm theo dõi cạnh tranh cho các tài nguyên để lấy cắp thông tin cá nhân của bạn và bán nó cho người đặt giá thầu cao nhất.
Vì vậy, một cách tự nhiên, chúng tôi muốn thực hiện một số điều tra về một số công việc như thế nào, và không có nơi nào tốt hơn để bắt đầu so với phần mềm độc hại Conduit Search đã tuyên bố hàng trăm triệu máy tính trên toàn thế giới. Nỗi khiếp sợ bất chính này chiếm đoạt công cụ tìm kiếm của bạn trong trình duyệt, thay đổi trang chủ của bạn và khó chịu nhất, nó chiếm toàn bộ trang Tab mới của bạn bất kể trình duyệt của bạn được đặt là gì.
Chúng ta sẽ bắt đầu bằng cách xem xét điều đó và sau đó chúng tôi sẽ chỉ cho bạn cách sử dụng Process Explorer để khắc phục các lỗi nói về các tệp và thư mục bị khóa đang được sử dụng.
Và sau đó chúng ta sẽ thảo luận với một cái nhìn khác về cách một số phần mềm quảng cáo những ngày này ẩn mình sau các quy trình của Microsoft để chúng xuất hiện hợp pháp trong Process Explorer hoặc Task Manager, mặc dù chúng thực sự không.
Điều tra phần mềm độc hại tìm kiếm Conduit
Như chúng tôi đã đề cập, kẻ săn tìm kiếm Conduit là một trong những thứ dai dẳng, khủng khiếp và khủng khiếp nhất mà gần như mỗi người thân của bạn có thể có trên máy tính của họ. Họ đóng gói phần mềm của họ theo những cách râm mát với bất kỳ phần mềm miễn phí nào mà họ có thể, và trong nhiều trường hợp, ngay cả khi bạn chọn không tham gia, kẻ xâm nhập vẫn sẽ được cài đặt.
Conduit cài đặt những gì họ gọi là "Bảo vệ tìm kiếm" mà họ tuyên bố ngăn phần mềm độc hại thực hiện các thay đổi đối với trình duyệt của bạn. Điều họ không đề cập là nó cũng ngăn bạn thực hiện bất kỳ thay đổi nào đối với trình duyệt của họ trừ khi bạn sử dụng bảng điều khiển Search Protect để thực hiện những thay đổi đó, mà hầu hết mọi người sẽ không biết vì nó được chôn trong khay hệ thống.
Không chỉ Conduit sẽ chuyển hướng tất cả các tìm kiếm của bạn đến trang Bing tùy chỉnh của riêng chúng, nó sẽ đặt nó làm trang chủ của bạn. Người ta sẽ phải giả định rằng Microsoft trả tiền cho tất cả lưu lượng truy cập này đến Bing, vì họ cũng đang chuyển một số pc = ống dẫn loại đối số trong chuỗi truy vấn.
Thực tế thú vị: công ty đằng sau mảnh rác này trị giá 1,5 tỷ đô la và JP Morgan đầu tư 100 triệu đô la vào chúng. Tà ác có lợi nhuận.
Conduit cướp trang Tab mới… Nhưng thế nào?
Việc chiếm đoạt trang tìm kiếm và trang chủ của bạn là không đáng kể đối với bất kỳ phần mềm độc hại nào - đây là nơi Conduit đẩy mạnh cái ác và bằng cách nào đó viết lại trang Tab mới để buộc nó hiển thị Conduit, ngay cả khi bạn thay đổi mọi cài đặt đơn lẻ.
Bạn có thể gỡ cài đặt tất cả trình duyệt của mình hoặc thậm chí cài đặt trình duyệt mà bạn chưa cài đặt trước đó, như Firefox hoặc Chrome và Conduit vẫn sẽ quản lý để chiếm đoạt trang Tab mới.
Đây là nơi chúng tôi chuyển sang Process Explorer để thực hiện một số điều tra. Đầu tiên, chúng tôi sẽ tìm thấy quy trình Tìm kiếm bảo vệ trong danh sách, điều này đủ dễ dàng vì nó được đặt tên đúng, nhưng nếu bạn không chắc chắn, bạn luôn có thể mở cửa sổ và sử dụng biểu tượng con mắt nhỏ bên cạnh ống nhòm để tìm ra quá trình nào thuộc về một cửa sổ.
Bây giờ bạn đã chọn quy trình, bạn có thể sử dụng phím tắt CTRL + H hoặc CTRL + D để mở chế độ xem Handles hoặc chế độ xem tệp DLL hoặc bạn có thể sử dụng trình đơn View -> Lower Pane View để thực hiện.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Nhìn qua danh sách các chốt xử lý trong vài phút đưa chúng ta đến gần hơn một chút với những gì đang diễn ra, bởi vì chúng tôi đã tìm thấy các xử lý cho Internet Explorer và Chrome, cả hai đều đang mở trên hệ thống thử nghiệm. Chúng tôi chắc chắn đã xác nhận rằng Search Protect đang làm điều gì đó cho các cửa sổ trình duyệt đang mở của chúng tôi, nhưng chúng tôi sẽ cần nghiên cứu thêm một chút để tìm ra chính xác những gì.
