NAVIGATION SCOLAIRE
- Quels sont les outils SysInternals et comment les utilisez-vous?
- Comprendre Process Explorer
- Utilisation de Process Explorer pour résoudre et diagnostiquer
- Comprendre le moniteur de processus
- Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
- Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
- Utilisation de BgInfo pour afficher des informations système sur le bureau
- Utiliser PsTools pour contrôler d'autres PC à partir de la ligne de commande
- Analyse et gestion de vos fichiers, dossiers et lecteurs
- Récapitulation et utilisation des outils ensemble
Il n'y a pas si longtemps, nous avons commencé à enquêter sur toutes sortes de logiciels malveillants et crapware qui s'installent automatiquement chaque fois que vous ne faites pas attention à l'installation du logiciel. Presque tous les logiciels gratuits sur le marché, y compris les logiciels «réputés», regroupent des barres d’outils, des attaques de piratage de recherche ou des logiciels publicitaires, et certains d’entre eux sont difficiles à résoudre.
Nous avons vu de nombreux ordinateurs de personnes qui, à notre connaissance, sont dotés de tant de logiciels espions et de logiciels publicitaires que le PC ne charge même plus. Essayer de charger le navigateur Web, en particulier, est presque impossible, car tous les logiciels de publicité et de suivi rivalisent pour trouver des ressources qui vous voleront des informations confidentielles et les vendront au plus offrant.
Nous avons donc naturellement souhaité mener une enquête sur le fonctionnement de certaines de ces solutions. Il n’ya pas de meilleur endroit pour commencer que le programme malveillant Conduit Search, qui a détruit des centaines de millions d’ordinateurs dans le monde. Cette horrible pervers pirate votre moteur de recherche dans votre navigateur, modifie votre page d’accueil et, ce qui est le plus ennuyeux, prend en charge votre page Nouvel onglet, quelle que soit la configuration de votre navigateur.
Nous allons commencer par regarder cela, puis nous vous montrerons comment utiliser Process Explorer pour résoudre les erreurs qui parlent de fichiers et de dossiers verrouillés en cours d'utilisation.
Nous verrons ensuite comment certains logiciels publicitaires se cachent derrière des processus Microsoft pour apparaître légitimes dans Process Explorer ou dans le Gestionnaire des tâches, même s'ils ne le sont pas vraiment.
Examen du programme malveillant de recherche de conduit
Comme nous l'avons mentionné, le pirate de ligne Conduit search est l'une des choses les plus persistantes, les plus terribles et les plus terribles que presque tous les membres de votre famille ont probablement sur leur ordinateur. Ils regroupent leurs logiciels de manière louche avec les logiciels gratuits qu’ils peuvent, et dans de nombreux cas, même si vous choisissez de vous désabonner, le pirate de l'air sera toujours installé.
Conduit installe ce qu'ils appellent «Search Protect», qui, selon eux, empêche les logiciels malveillants d'apporter des modifications à votre navigateur. Ce qu’ils ne mentionnent pas, c’est que cela vous empêche également d’apporter des modifications à leur navigateur, à moins que vous n’utilisiez leur panneau Protection de la recherche pour effectuer ces modifications, ce que la plupart des gens ne savent pas car ils sont enfouis dans la barre des tâches.
Conduit redirigera toutes vos recherches vers sa propre page Bing personnalisée, mais définira également cette page comme page d'accueil. Il faudrait supposer que Microsoft les paye pour tout ce trafic vers Bing, car ils transmettent également des ? pc = conduit type d'arguments dans la chaîne de requête.
Anecdote: l'entreprise qui se cache derrière cette poubelle pèse 1,5 milliard de dollars et JP Morgan y a investi 100 millions de dollars. Être méchant est rentable.
Conduit détourne la nouvelle page de l'onglet… mais comment?
Le piratage de votre page de recherche et de votre page d'accueil est trivial pour tous les programmes malveillants - c’est là que Conduit intensifie le mal et réécrit en quelque sorte la page Nouvel onglet pour le forcer à afficher Conduit, même si vous modifiez tous les paramètres.
Vous pouvez désinstaller tous vos navigateurs, ou même installer un navigateur que vous n'aviez pas encore installé, tel que Firefox ou Chrome, et Conduit parviendra tout de même à pirater la page Nouvel onglet.
C’est là que nous nous tournons vers Process Explorer pour mener une enquête. Tout d’abord, nous allons trouver le processus de protection de la recherche dans la liste, ce qui est assez facile car il porte bien son nom, mais si vous n’êtes pas sûr, vous pouvez toujours ouvrir la fenêtre et utiliser la petite icône représentant un œil de bœuf à côté de la fenêtre. des jumelles pour déterminer quel processus appartient à une fenêtre.
Maintenant que vous avez sélectionné le processus, vous pouvez utiliser les touches de raccourci CTRL + H ou CTRL + D pour ouvrir la vue Handles ou la vue DLL, ou vous pouvez utiliser le menu Affichage -> Vue du volet inférieur pour le faire.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
En parcourant la liste des poignées pendant quelques minutes, nous nous sommes un peu rapprochés de ce qui se passait, car nous avons trouvé des poignées pour Internet Explorer et Chrome, toutes deux actuellement ouvertes sur le système de test. Nous avons définitivement confirmé que Search Protect agit dans les fenêtres de notre navigateur ouvert, mais nous devrons faire un peu plus de recherche pour savoir exactement quoi.
