NAVIGASI SEKOLAH
- Apa Alat SysInternals dan Bagaimana Anda Menggunakannya?
- Memahami Proses Explorer
- Menggunakan Process Explorer untuk Memecahkan Masalah dan Mendiagnosis
- Memahami Proses Monitor
- Menggunakan Monitor Proses untuk Mengatasi Masalah dan Menemukan Peretasan Registry
- Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
- Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
- Menggunakan PsTools untuk Mengontrol PC Lain dari Command Line
- Menganalisis dan Mengelola File, Folder, dan Drive Anda
- Membungkus dan Menggunakan Alat Bersama
Belum lama ini, kami mulai menyelidiki segala macam malware dan crapware yang terinstal secara otomatis setiap kali Anda tidak memperhatikan saat menginstal perangkat lunak. Hampir setiap bagian dari freeware di pasaran, termasuk yang "terkemuka", adalah bundling toolbars, pencarian pembajakan, atau adware, dan sebagian sulit untuk dipecahkan.
Kami telah melihat banyak komputer dari orang-orang yang kami kenal yang memiliki begitu banyak spyware dan adware yang diinstal sehingga PC bahkan hampir tidak memuat lagi. Mencoba memuat browser web, khususnya, hampir tidak mungkin, karena semua perangkat lunak periklanan dan pelacakan bersaing untuk mendapatkan sumber daya untuk mencuri informasi pribadi Anda dan menjualnya kepada penawar tertinggi.
Jadi tentu saja, kami ingin melakukan sedikit penyelidikan tentang cara kerja beberapa aplikasi ini, dan tidak ada tempat yang lebih baik untuk memulai daripada malware Conduit Search yang telah mengklaim ratusan juta komputer di seluruh dunia. Kekacauan yang mengerikan ini membajak mesin pencari Anda di browser Anda, mengubah halaman rumah Anda, dan yang paling menjengkelkan, itu mengambil alih halaman Tab Baru Anda tidak peduli apa browser Anda diatur ke.
Kami akan mulai dengan melihat itu, lalu kami akan menunjukkan kepada Anda cara menggunakan Process Explorer untuk memecahkan masalah kesalahan yang berbicara tentang file dan folder terkunci yang sedang digunakan.
Lalu kami akan membulatkannya dengan tampilan lain tentang bagaimana beberapa adware hari ini menyembunyikan diri di balik proses Microsoft sehingga tampak sah di Process Explorer atau Task Manager, meskipun sebenarnya tidak.
Investigasi Malware Pencarian Saluran
Seperti yang kami sebutkan, pembajak pencarian Conduit adalah salah satu hal yang paling gigih, mengerikan, dan mengerikan yang hampir setiap anggota keluarga Anda mungkin miliki di komputer mereka. Mereka memaketkan perangkat lunak mereka dengan cara yang teduh dengan perangkat gratis apa pun yang mereka bisa, dan dalam banyak contoh, bahkan jika Anda memilih untuk tidak ikut serta, pembajak akan tetap dipasang.
Conduit menginstal apa yang mereka sebut "Cari Melindungi", yang mereka klaim mencegah malware melakukan perubahan pada browser Anda. Apa yang tidak mereka sebutkan adalah itu juga mencegah Anda melakukan perubahan apa pun pada browser mereka kecuali Anda menggunakan panel Search Protect mereka untuk membuat perubahan tersebut, yang kebanyakan orang tidak akan tahu karena itu terkubur di baki sistem.
Tidak hanya Conduit akan mengarahkan semua pencarian Anda ke halaman Bing kustom mereka sendiri, itu akan mengatur itu sebagai halaman rumah Anda. Orang harus mengasumsikan bahwa Microsoft membayar mereka untuk semua lalu lintas ini ke Bing, karena mereka juga melewatkan beberapa ? pc = saluran jenis argumen dalam string kueri.
Fakta menarik: perusahaan di balik sampah ini bernilai 1,5 Miliar dolar dan JP Morgan menginvestasikan $ 100 juta ke dalamnya. Menjadi jahat itu menguntungkan.
Conduit Membajak Halaman Tab Baru … Tapi Bagaimana?
Pembajakan pencarian Anda dan halaman rumah adalah sepele untuk malware apapun - ini adalah tempat Conduit langkah kejahatan dan entah bagaimana menulis ulang halaman Tab Baru untuk memaksanya untuk menunjukkan Conduit, bahkan jika Anda mengubah setiap pengaturan tunggal.
Anda dapat menghapus semua browser Anda, atau bahkan menginstal browser yang belum pernah Anda instal sebelumnya, seperti Firefox atau Chrome, dan Conduit masih akan mengelola untuk membajak halaman Tab Baru.
Di sinilah kita beralih ke Process Explorer untuk melakukan investigasi. Pertama, kita akan menemukan proses Pencarian Melindungi dalam daftar, yang cukup mudah karena nama itu benar, tetapi jika Anda tidak yakin, Anda selalu dapat membuka jendela dan menggunakan ikon mata sapi kecil di sebelah teropong untuk mencari tahu proses mana yang termasuk ke jendela.
Setelah Anda memilih prosesnya, Anda dapat menggunakan tombol pintas CTRL + H atau CTRL + D untuk membuka tampilan Menangani atau tampilan DLL, atau Anda dapat menggunakan menu Lihat -> Pane Bawah untuk melakukannya.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Mencari melalui daftar pegangan selama beberapa menit membawa kita sedikit lebih dekat dengan apa yang sedang terjadi, karena kami menemukan pegangan untuk Internet Explorer dan Chrome, yang keduanya saat ini terbuka pada sistem pengujian. Kami telah memastikan bahwa Search Protect melakukan sesuatu pada jendela browser terbuka kami, tetapi kami perlu melakukan sedikit riset untuk mencari tahu apa sebenarnya.