在这一系列的帖子中,我们将使用下面的流程图遵循确定哪个过程广告软件我们正在处理这个问题。我们的目标是让您了解Windows系统中有多少种不同类型的广告软件。虽然大多数被归类为小狗,你也会看到偶尔的木马要么rootkit,特别是对于更难以检测和移除的类型。
在该系列的这一部分中,我们将重点关注我们发现作为显示广告的过程的过程不是实际的罪魁祸首。我们将演示如何使用流程资源管理器查看哪些句柄,DLL和父进程。这是一个相对简单的方法来弄清楚一个过程正在做什么。
进程管理
如前所述,我们将在本期节目中使用的工具是Sysinternal的Process Explorer。在我写这篇文章的时候,Process Explorer的当前版本是v16.21。要查看DLL和句柄,您需要启用较低的窗格视图并将其设置为动态连接库要么把手分别地
要启用较低的窗格视图,请单击看法>并在前面打勾较低的窗格视图. 那么如果你把鼠标悬停在较低的窗格视图选项可以选择动态连接库要么把手.
父流程
但让我们先看看父进程。当您切换流程列的标题时,您将注意到一个配置(如上面的屏幕截图所示),其中流程以树状方式显示。其他配置按字母顺序排列和颠倒字母顺序排列。树状表示允许您查看哪个进程启动了下面列出的进程。示例:“explorer.exe”下列出的进程将explorer.exe作为父进程。对于explorer.exe,这通常意味着用户双击了可执行文件或该可执行文件的快捷方式。但是,在浏览器窗口向您显示广告的情况下,查看哪个进程是浏览器进程的父进程可能会很有趣,因为这可能就是您要查找的进程。
动态连接库
动态负载库(DLL)是其他可执行文件可以使用的文件。它们通常包含函数或其他代码,可以按名称或入口点调用。以这种方式,库中的代码可以作为运行进程的一部分执行。要查看一个过程中使用的所有DLL,可以查看下窗格。提示:如果要将此列表呈现给某人进行第二种意见,您可以选择顶部窗口中的进程,然后单击
提示:如果要将此列表呈现给某人进行第二种意见,您可以选择顶部窗口中的进程,然后单击文件>另存为并保存生成的文本文件。
提示:按顺序对下部窗格进行排序公司名因此,您可以轻松跳过所有Microsoft Corporation文件。这通常会将需要查看的DLL数量限制为几个。
把手
处理是查看进程是否使用像端口,套接字和文件等某些资源的好方法。和过程资源管理器的美丽是,如果您知道您正在寻找的句柄,则可以搜索该句柄。例如,如果您想查看哪个进程在outsers.dat文件上有句柄,则通常在许多Internet连接的进程中共享,您可以单击寻找>查找句柄或DLL…然后在提示符中键入资源的名称以获取具有句柄的进程列表。
如果有疑问,可以通过单击启用句柄的Virustotal查找选择权>VirusTotal.com>查看VirusTotal.com.这将将哈希发送到Virustotal,这是一种分析可疑文件和URL的免费服务。有了一点运气,您将注意到您在列表中的检测,如果您只检查了针对Virustotal的进程列表。
当您右键单击句柄时,您将看到选项闭合手柄.释放这些句柄有时可以帮助您遇到未删除的文件,因为它们正在使用。通过关闭所有句柄,这些文件将删除,因为它们将不再使用。
例子
让我们用一些广告软件,作为一个示例,它使用默认浏览器打开广告。在此系统上,Firefox是默认的浏览器。每次我打开Firefox时,我将获得一个具有不同广告的新标签(在这种情况下所有重定向)。
很明显,这一过程是成功的firefox.exe快速检查告诉我没有扩展,也没有活动代理。更深入的调查显示没有LSP或DNS劫持。
所以我看了我的安装程序列表并看到了一些未知的东西,这也是可疑的,因为它没有出版商和不版本,并且恰好安装日期以匹配广告启动的日期。
所以我对进程资源管理器进行了搜索DLL并拼接,并找到了QIPAPP.在相当多的进程中,它甚至有一个同名的进程。
在这种情况下,卸载工作,广告软件在重新启动后消失,因此我们不必手动删除它。我们也可以用必威平台APP要删除它,但我用它作为一个例子来证明调查方法。
下次再见,我们将解决那些更难找到和移除的问题。
指数
- 确定流程
- 清除浏览器缓存
- 删除浏览器扩展名
- 代理人
- Winsock劫机者
- DNS劫持者
- 软件类型
- 卸载
- 删除文件
- 替换文件
- 计划任务
- 服务
第5部分
- 动态链接库
- 把手
- 父流程
接下来,第6部分
- 广告
- rootkits.
- 无用的感染
评论