Uso de Process Explorer para solucionar problemas y diagnosticar



Comprender cómo funcionan los cuadros de diálogo y las opciones de Process Explorer está muy bien, pero ¿qué tal si se usa para solucionar problemas reales o diagnosticar un problema? La lección de hoy de Geek School intentará ayudarte a aprender a hacer precisamente eso.

NAVEGACIÓN ESCOLAR
  1. ¿Qué son las herramientas de SysInternals y cómo se utilizan?
  2. Comprensión del Explorador de procesos
  3. Uso de Process Explorer para solucionar problemas y diagnosticar
  4. Entendiendo el Monitor de Procesos
  5. Uso de Process Monitor para solucionar problemas y encontrar hacks de registro
  6. Uso de Autoruns para lidiar con procesos de inicio y malware
  7. Uso de BgInfo para mostrar información del sistema en el escritorio
  8. Uso de PsTools para controlar otras PC desde la línea de comandos
  9. Analizar y administrar sus archivos, carpetas y unidades
  10. Conclusión y uso de las herramientas juntos

No hace mucho, comenzamos a investigar todo tipo de malware y crapware que se instala automáticamente cada vez que no presta atención al instalar el software. Casi todos los programas gratuitos en el mercado, incluidos los de buena reputación, incluyen barras de herramientas, programas de secuestro de búsquedas o adware, y algunos de ellos son difíciles de solucionar.





Hemos visto muchas computadoras de personas que conocemos que tienen tanto software espía y adware instalado que la PC apenas se carga. Tratar de cargar el navegador web, especialmente, es casi imposible, ya que todo el software publicitario y de seguimiento compite por recursos para robar su información privada y venderla al mejor postor.

Así que, naturalmente, queríamos investigar un poco cómo funcionan algunos de estos, y no hay mejor lugar para comenzar que el malware Conduit Search que se ha cobrado cientos de millones de computadoras en todo el mundo. Esta nefasta aversión secuestra su motor de búsqueda en su navegador, cambia su página de inicio y, lo que es más molesto, se apodera de su página Nueva pestaña sin importar la configuración de su navegador.



Comenzaremos por mirar eso y luego le mostraremos cómo usar Process Explorer para solucionar errores que hablan de archivos y carpetas bloqueados que están en uso.

Anuncio publicitario

Y luego lo completaremos con otra mirada a cómo algunos programas publicitarios en estos días se esconden detrás de los procesos de Microsoft para que parezcan legítimos en el Explorador de procesos o el Administrador de tareas, aunque en realidad no lo son.

Investigación del malware Conduit Search

Como mencionamos, el secuestrador de búsquedas Conduit es una de las cosas más persistentes, espantosas y terribles que casi todos sus familiares probablemente tienen en su computadora. Ellos empaquetan su software de manera sospechosa con cualquier software gratuito que puedan y, en muchos casos, incluso si opta por no participar, el secuestrador seguirá estando instalado.



Conduit instala lo que ellos llaman Search Protect, que, según afirman, evita que el malware realice cambios en su navegador. Lo que no mencionan es que también le impide realizar cambios en su navegador a menos que use su panel de Protección de búsqueda para realizar esos cambios, que la mayoría de la gente no sabrá, ya que está enterrado en la bandeja del sistema.

Conduit no solo redirigirá todas sus búsquedas a su propia página personalizada de Bing, sino que la establecerá como su página de inicio. Habría que asumir que Microsoft les está pagando por todo este tráfico a Bing, ya que también están pasando algunos ? pc = conducto tipo de argumentos en la cadena de consulta.

Dato curioso: la empresa detrás de este pedazo de basura tiene un valor de 1.500 millones de dólares y JP Morgan invirtió 100 millones de dólares en ellos. Ser malvado es rentable.

Conduit secuestra la página Nueva pestaña ... pero ¿cómo?

Secuestrar su página de búsqueda y de inicio es trivial para cualquier malware; aquí es donde Conduit intensifica el mal y de alguna manera reescribe la página Nueva pestaña para obligarla a mostrar Conduit, incluso si cambia cada configuración.

Anuncio publicitario

Puede desinstalar todos sus navegadores, o incluso instalar un navegador que no tenía instalado antes, como Firefox o Chrome, y Conduit aún se las arreglará para secuestrar la página Nueva pestaña.

Alguien debería estar en la cárcel, pero probablemente esté en un yate.

No se necesita mucho en términos de habilidades geek para eventualmente deducir que el problema es la aplicación Search Protect que se ejecuta en la bandeja del sistema. Elimine ese proceso y, de repente, sus nuevas pestañas se abrirán tal como lo pretendía el fabricante del navegador.

Pero, ¿cómo, exactamente, hace esto? No hay complementos ni extensiones instalados en ninguno de los navegadores. No hay complementos. El registro está limpio. ¿Cómo lo hicieron?

Aquí es donde recurrimos al Explorador de procesos para investigar un poco. Primero, encontraremos el proceso de Protección de búsqueda en la lista, que es bastante fácil porque tiene el nombre correcto, pero si no está seguro, siempre puede abrir la ventana y usar el pequeño icono de diana junto al binoculares para averiguar qué proceso pertenece a una ventana.

Ahora puede simplemente seleccionar el proceso apropiado, que en este caso fue uno de los tres que ejecuta automáticamente el Servicio de Windows que instala Conduit. ¿Cómo supe que era un servicio de Windows que lo reinicia? Porque el color de esa fila es rosa, por supuesto. Armado con ese conocimiento, siempre podría detener o eliminar el servicio (aunque en este caso particular, simplemente puede desinstalarlo desde Desinstalar programas en el Panel de control).

Ahora que ha seleccionado el proceso, puede usar las teclas de método abreviado CTRL + H o CTRL + D para abrir la vista de Controles o la vista de DLL, o puede usar el menú Ver -> Vista del panel inferior para hacerlo.

Nota: En el mundo de Windows, un identificador es un valor entero que se utiliza para identificar de forma única un recurso en la memoria como una ventana, un archivo abierto, un proceso o muchas otras cosas. Cada ventana de aplicación abierta en su computadora tiene un identificador de ventana único, por ejemplo, que puede usarse para hacer referencia a ella.

Las DLL, o bibliotecas de vínculos dinámicos, son piezas compartidas de código compilado que se almacenan en un archivo separado para compartir entre varias aplicaciones. Por ejemplo, en lugar de que cada aplicación escriba sus propios cuadros de diálogo Abrir / Guardar archivo, todas las aplicaciones pueden simplemente usar el código de diálogo común proporcionado por Windows en el archivo comdlg32.dll.

Anuncio publicitario

Mirar la lista de identificadores durante unos minutos nos acercó un poco más a lo que estaba sucediendo, porque encontramos identificadores para Internet Explorer y Chrome, los cuales están abiertos actualmente en el sistema de prueba. Definitivamente hemos confirmado que Search Protect está haciendo algo en las ventanas abiertas de nuestro navegador, pero tendremos que investigar un poco más para averiguar exactamente qué.

Lo siguiente que debe hacer es hacer doble clic en el proceso en la lista para abrir la vista de detalles y luego pasar a la pestaña Imagen, que le brindará información sobre la ruta completa al ejecutable, la línea de comando e incluso el carpeta de trabajo. Haremos clic en el botón Explorar para echar un vistazo a la carpeta de instalación y ver qué más se esconde allí.

¡Interesante! Hemos encontrado varios archivos DLL aquí, pero por alguna extraña razón, ninguno de estos archivos DLL se incluyó en la vista de DLL para el proceso de protección de búsqueda cuando lo vimos anteriormente. Esto podría ser un problema.

Cada vez que desee ver si alguna aplicación de su sistema está utilizando un archivo DLL, puede abrir el panel de búsqueda yendo al menú Buscar, presionando CTRL + F, o simplemente haciendo clic en el ícono de binoculares en la barra de herramientas. Ahora escriba parte del nombre de la DLL, o incluso el nombre completo si lo desea.

Elegimos buscar solo el principio, SPVC, ya que ese era el vínculo común entre todos ellos y, efectivamente, parece que esos archivos DLL se están cargando directamente en cada uno de los procesos del navegador que se ejecutan en nuestra computadora.

Al hacer clic en uno de los elementos de la lista y cambiar a la página de Hilos, se confirmó lo que nos preocupaba. Tanto Chrome como Internet Explorer ejecutaban subprocesos utilizando los archivos SPVC32.dll o SPVC64.dll del malware Search Protect, y así es como estaban secuestrando nuestra página de nueva pestaña, no cambiando la configuración, sino secuestrando el navegador desde adentro.

Nota: En Windows, un subproceso es lo que el sistema operativo asigna tiempo de procesador para ejecutarse. Un proceso en Windows es lo que estamos acostumbrados a considerar como geeks y tipos de administradores de sistemas, pero técnicamente los subprocesos son en realidad lo único que se ejecuta en Windows, no los procesos. Ciertos procesos pueden tener solo un subproceso de ejecución, pero otros pueden tener muchos subprocesos que se ejecutan por separado entre sí, por lo general comunicándose con algún tipo de mecanismo de comunicación en proceso.

Anuncio publicitario

También puede hacer doble clic en cualquiera de los subprocesos para ver la pila de ejecución completa, lo que puede ser útil para ver qué funciones se están llamando e intentar averiguar cuál es el problema.

Quizás se pregunte cómo la aplicación Search Protect logró que Google Chrome cargara esa DLL, y la respuesta es que Windows proporciona una función llamada Inyección de DLL. Un proceso puede inyectar una DLL en otro proceso y luego secuestrar ciertas funciones de la API. Así es como ciertas aplicaciones anulan las funciones de Windows o las funciones de otras aplicaciones. Es un tema muy complicado en el que definitivamente no podemos entrar en esta lección, pero si realmente quieres leer más, puedes consultar esta guía .

También vale la pena señalar que puede ver el uso de la CPU por subproceso al profundizar en este nivel de detalles, lo que puede ser muy útil al solucionar problemas de una aplicación que tiene complementos. Puede usar esto para descubrir que un archivo DLL en particular está ocupando demasiado tiempo del procesador y luego investigar un poco a qué pertenece ese componente.

Manejo de archivos o carpetas bloqueados

Dado que es poco probable que esté investigando malware todo el tiempo, también es útil usar el Explorador de procesos para otras tareas, como tratar con esos cuadros de diálogo En uso que puede en cualquier momento que intente eliminar, mover o modificar un archivo o carpeta que está siendo utilizado por otro proceso, especialmente cuando no está seguro de qué proceso lo está bloqueando.

Cuando obtenga un error como ese, diríjase al Explorador de procesos, abra la búsqueda con CTRL + F o el icono, y luego escriba el nombre de la carpeta enumerada anteriormente (o una ruta completa más descriptiva si el nombre es muy vago).

Verá muy rápidamente un proceso en la lista que tiene su archivo o carpeta abierta, y puede hacer doble clic en él para identificar el proceso en la lista.

Anuncio publicitario

Su reacción inmediata podría ser simplemente cerrar ese proceso, pero no necesariamente tiene que hacerlo. También puede hacer clic con el botón derecho en el archivo o carpeta en la lista de identificadores (use la opción CTRL + H para abrir la lista de identificadores) y elija la opción Cerrar identificador. ¡Ese recurso ahora está desbloqueado!

Nota: Si está eliminando algo, esta es una opción perfecta, pero si solo está tratando de editar o mover ese elemento, probablemente debería abrir la aplicación ofensiva y tratarla allí para no perder ningún dato.

Investigar procesos que parecen seguros pero no lo son

Durante nuestra investigación de malware, hemos notado otro problema que se está volviendo más frecuente, por lo que es aconsejable vigilarlo en el futuro. Cual es ese problema? El malware se esconde detrás de los procesos legítimos de Windows y está haciendo un buen trabajo.

El problema es la utilidad rundll32.exe de Windows, que se puede utilizar para ejecutar funciones arbitrariamente desde archivos DLL. Dado que esta utilidad está firmada por Microsoft, aparece como un proceso completamente legítimo en la lista, pero en realidad lo que están haciendo es simplemente mover todo su código de malware / adware a un archivo .DLL en lugar de un archivo .EXE, y luego cargando el malware con rundll32.exe en su lugar. De hecho, si ve que rundll32.exe se ejecuta como un proceso propio en el color azul claro que se muestra a continuación, casi siempre es algo que no debería estar ejecutándose.

En el siguiente ejemplo, puede ver que aunque usamos la función de firmante verificado para validar ese elemento, cuando pasamos el cursor sobre él y miramos la ruta completa, en realidad está cargando una DLL que resulta ser parte de un adware. producto.

Nota: antes de que empiece a gritar acerca de ejecutar un análisis antivirus, notaremos que lo hicimos y que no regresó con nada. Gran parte de este crapware, adware y spyware es ignorado por las utilidades antivirus.

Anuncio publicitario

Al hacer doble clic para abrir los detalles, se muestra más del problema, y ​​también podemos ver el directorio del que se está agotando el software malicioso, que usaremos para investigar más a fondo.

Dentro de ese directorio encontramos una serie de archivos que se actualizaban constantemente en segundo plano.

El resto de la investigación condujo a otras herramientas que no eran SysInternals, y que probablemente cubriremos en una fecha posterior, pero basta con decir que esto es solo una pieza de malware que se estaba ejecutando junto con otra aplicación de crapware. .

El punto importante aquí es que el malware puede esconderse detrás de ejecutables legítimos de Windows, así que asegúrese de estar atento a cualquier cosa similar.

A continuación

Estén atentos mañana para conocer aún más SysInternals, ya que le mostraremos cómo usar la utilidad Process Monitor para rastrear qué aplicaciones están haciendo realmente detrás de escena. Será revelador.

LEER SIGUIENTE
  • & rsaquo; 5 sitios web que todo usuario de Linux debería marcar
  • & rsaquo; Cyber ​​Monday 2021: las mejores ofertas tecnológicas
  • & rsaquo; Funciones frente a fórmulas en Microsoft Excel: ¿Cuál es la diferencia?
  • & rsaquo; The Computer Folder Is 40: Cómo Xerox Star creó el escritorio
  • & rsaquo; ¿Qué es la protección contra caídas MIL-SPEC?
  • & rsaquo; Cómo encontrar su Spotify Wrapped 2021
Foto de perfil de Lowell Heddings Lowell Heddings
Lowell es el fundador y director ejecutivo de How-To Geek. Ha estado dirigiendo el programa desde que creó el sitio en 2006. Durante la última década, Lowell ha escrito personalmente más de 1000 artículos que han sido vistos por más de 250 millones de personas. Antes de comenzar How-To Geek, Lowell pasó 15 años trabajando en TI realizando trabajos de consultoría, ciberseguridad, administración de bases de datos y programación.
Leer biografía completa

Artículos De Interés