NAVEGAÇÃO ESCOLAR
- Quais são as ferramentas SysInternals e como você as usa?
- Entendendo o Process Explorer
- Usando o Process Explorer para solucionar problemas e diagnosticar
- Entendendo o Process Monitor
- Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
- Usando o Autoruns para lidar com processos de inicialização e malware
- Usando o BgInfo para exibir informações do sistema na área de trabalho
- Usando o PsTools para controlar outros PCs a partir da linha de comando
- Analisando e gerenciando seus arquivos, pastas e unidades
- Encerrando e usando as ferramentas juntas
Não muito tempo atrás, começamos a investigar todos os tipos de malware e malware que são instalados automaticamente sempre que você não presta atenção ao instalar o software. Quase todos os freewares no mercado, incluindo os “respeitáveis”, estão agrupando barras de ferramentas, pesquisa, sequestro ou adware, e alguns deles são difíceis de solucionar.
Vimos muitos computadores de pessoas que sabemos que têm muito spyware e adware instalados e que o PC nem carrega mais. Tentando carregar o navegador da web, especialmente, é quase impossível, como todo o software de adware e rastreamento compete por recursos para roubar suas informações privadas e vendê-lo para o maior lance.
Então, naturalmente, queríamos fazer um pouco de investigação sobre como alguns deles funcionam, e não há lugar melhor para começar do que o malware Conduit Search, que conquistou centenas de milhões de computadores em todo o mundo. Esse horrível horroroso seqüestra seu mecanismo de busca em seu navegador, altera sua página inicial e, o mais irritante, ele assume a página de Nova Guia, não importando o que seu navegador esteja configurado.
Começaremos analisando isso e, em seguida, mostraremos a você como usar o Process Explorer para solucionar erros que falam sobre arquivos e pastas bloqueados que estão em uso.
Depois, analisaremos com mais detalhes como alguns adwares estão se escondendo por trás dos processos da Microsoft, para que pareçam legítimos no Process Explorer ou no Gerenciador de tarefas, mesmo que não sejam verdadeiros.
Investigando o Malware de Pesquisa de Conduit
Como mencionamos, o sequestrador de buscas do Conduit é uma das coisas mais persistentes, terríveis e terríveis que quase todos os seus parentes provavelmente têm em seu computador. Eles agrupam seus softwares de maneira suspeita com qualquer freeware que puderem e, em muitos casos, mesmo que você opte por não participar, o sequestrador ainda será instalado.
A Conduit instala o que eles chamam de "Search Protect", que, segundo eles, impede que o malware faça alterações em seu navegador. O que eles não mencionam é que isso também impede que você faça alterações no navegador, a menos que você use o painel Search Protect para fazer essas alterações, algo que a maioria das pessoas não sabe, pois está na bandeja do sistema.
Não apenas o Conduit redirecionará todas as suas pesquisas para sua própria página personalizada do Bing, como a sua home page. Alguém teria que assumir que a Microsoft está pagando por todo esse tráfego para o Bing, já que eles também estão passando ? pc = conduta tipo de argumentos na string de consulta.
Curiosidade: a empresa por trás desse pedaço de lixo vale 1,5 bilhões de dólares e o JP Morgan investiu 100 milhões de dólares neles. Ser mal é lucrativo.
Conduit seqüestra a página nova aba … Mas como?
Sequestrar sua busca e sua home page é trivial para qualquer malware - é nesse ponto que o Conduit corrige o mal e, de alguma forma, reescreve a página New Tab para forçar a exibição do Conduit, mesmo que você altere todas as configurações.
Você pode desinstalar todos os seus navegadores ou até mesmo instalar um navegador que você não tenha instalado antes, como o Firefox ou o Chrome, e o Conduit ainda conseguirá seqüestrar a página "Nova guia".
É aqui que nos voltamos para o Process Explorer para fazer alguma investigação. Primeiro, encontraremos o processo Search Protect na lista, o que é bastante fácil, porque ele é corretamente nomeado, mas se você não tinha certeza, você sempre pode abrir a janela e usar o pequeno ícone de olho de boi ao lado do binóculos para descobrir qual processo pertence a uma janela.
Agora que você selecionou o processo, você pode usar as teclas de atalho CTRL + H ou CTRL + D para abrir a exibição Handles ou a exibição DLLs ou usar o menu View -> Lower View Pane para fazê-lo.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Examinar a lista de alças por alguns minutos nos aproximou um pouco mais do que estava acontecendo, porque encontramos alças para o Internet Explorer e o Chrome, ambos atualmente abertos no sistema de teste. Definitivamente, confirmamos que o Search Protect está fazendo algo em nossas janelas abertas do navegador, mas precisaremos fazer mais pesquisas para descobrir exatamente o quê.
