بسیاری از دستورالعمل های مربوط به حذف نرم افزارهای تبلیغاتی، تروجان و سایر نرم افزارهای ناخواسته از یک کامپیوتر شامل مواردی هستند که نیاز به بررسی فرآیندهای ویندوز را برای حضور مشکوک در میان آنها پس از استفاده از ابزارهای حذف خودکار نرم افزارهای مخرب دارند. با این حال، آن را بسیار ساده برای آن را به کاربر بدون تجربه جدی با سیستم عامل - لیستی از برنامه های اجرا شده در مدیر وظیفه می تواند او را کمی به او بگویید.
ابزار رایگان CrowdStrike CrowdInspect که به طور خاص برای این منظور طراحی شده است، که در این بررسی مورد بحث قرار می گیرد، می تواند به بررسی و تحلیل پروسه های در حال اجرا (برنامه ها) ویندوز 10، 8 و ویندوز 7 و XP کمک کند. همچنین ببینید: چگونه از تبلیغ (AdWare) در مرورگر خلاص شوید.
با استفاده از CrowdInspect برای تجزیه و تحلیل فرآیندهای ویندوز در حال اجرا
CrowdInspect نیازی به نصب بر روی رایانه ندارد و یک آرشیو ZIP با یک فایل اجرایی crowdinspect.exe است که در هنگام راه اندازی می تواند یک فایل دیگر برای سیستم های 64 بیتی ویندوز ایجاد کند. این برنامه به یک اینترنت متصل نیاز دارد.
هنگامی که شما برای اولین بار شروع به کار می کنید، باید قبول شرایط موافقت نامه مجوز با دکمه Accept بپذیرید و در صورت لزوم، در پنجره بعدی، ادغام با سرویس VirusTotal آنلاین ویروس پیکربندی (و در صورت لزوم آپلود فایل های ناشناخته را به این سرویس غیرفعال کنید) "آپلود فایل های ناشناخته" را غیرفعال کنید.
پس از کلیک کردن «Ok» برای مدت کوتاهی، CrowdStrike Falcon پرداخت پنجره محافظت از ابزارهای تبلیغاتی را باز می کند و سپس پنجره اصلی CrowdInspect را با لیستی از فرایندهای در حال اجرا در ویندوز و اطلاعات مفید در مورد آنها باز می شود.
برای شروع، اطلاعات در مورد ستون های مهم در CrowdInspect
- فرآیند نام - نام فرآیند شما همچنین می توانید مسیرهای کامل را به فایل های اجرایی با کلیک روی دکمه "Full Path" در منوی برنامه اصلی نمایش دهید.
- تزریق کنید - چک کردن فرآیند تزریق کد (در برخی موارد ممکن است نتیجه مثبتی برای آنتی ویروس باشد). اگر مشکوک به یک تهدید باشد، علامت تعجب دو علامت و نماد قرمز صادر می شود.
- VT یا HA - نتیجه بررسی فایل پروسس در VirusTotal (درصد مربوط به درصد آنتی ویروس هایی است که فایل را خطرناک می دانند). آخرین نسخه ستون HA را نمایش می دهد و تجزیه و تحلیل انجام شده با استفاده از سرویس آنلاین Hybrid Analysis Online (احتمالا کارآمدتر از VirusTotal) است.
- مورخ - نتیجه تأیید در مخزن تروجان تروجان Team Cymru (پایگاه داده ای از چکمه های بدافزار شناخته شده). نماد قرمز و علامت تعجب دو علامت را نمایش می دهد اگر یک هش فرآیند در پایگاه داده وجود داشته باشد.
- WOT - هنگامی که این فرآیند ارتباط با سایت ها و سرورها را در اینترنت برقرار می کند، نتیجه بررسی این سرور ها در سرویس اعتبار وب اعتماد
ستون های باقی مانده حاوی اطلاعات مربوط به اتصالات اینترنتی ایجاد شده توسط این فرآیند هستند: نوع اتصال، وضعیت، شماره های پورت، آدرس IP محلی، آدرس IP از راه دور، و نمایش DNS از این آدرس.
توجه: شما ممکن است متوجه شوید که یک برگه مرورگر به عنوان مجموعه ای از چندین یا چند پردازش در CrowdInspect نمایش داده می شود. دلیل این امر این است که یک خط جداگانه برای هر اتصال ایجاد شده توسط یک فرایند یک نمایش داده می شود (و یک وبسایت معمولی که در مرورگر باز شده است، باعث می شود شما به صورت همزمان به اینترنت متصل شوید). شما می توانید این نوع نمایش را غیر فعال کنید با غیر فعال کردن دکمه TCP و UDP در نوار منوی بالا.
سایر آیتم های منو و کنترل:
- زنده / تاریخچه - حالت نمایش را تغییر می دهد (در زمان واقعی یا یک لیست که در آن زمان شروع هر روند نمایش داده می شود).
- مکث - جمع آوری اطلاعات را در مکث قرار دهید.
- کشتن فرآیند - فرایند انتخاب شده را کامل کنید
- بستن Tcp - اتصال TCP / IP را برای روند متوقف کنید.
- خواص - یک پنجره ویندوز استاندارد با خواص فایل اجرایی فرآیند باز کنید.
- VT نتایج - یک پنجره با اسکن نتایج در VirusTotal و لینک به نتیجه اسکن در سایت باز کنید.
- کپی کنید همه - کپی تمام اطلاعات ارسال شده در مورد پروسه های فعال به کلیپ بورد.
- همچنین برای هر فرآیند در کلیک راست موس، یک منوی زمینه با اقدامات اساسی موجود است.
من اعتراف می کنم که کاربران با تجربه تر تا به امروز فکر کرده اند: "یک ابزار عالی"، و مبتدیان کاملا نمی دانستند که استفاده از آن چیست و چگونه می توان از آن استفاده کرد. به همین دلیل است که به طور خلاصه و به عنوان ساده برای مبتدیان ممکن است:
- اگر مشکوک هستید که بدی در کامپیوترتان اتفاق می افتد و آنتی ویروس و ابزارهای نرم افزاری مانند AdwCleaner قبلا رایانه خود را بررسی کرده اید (به بهترین ابزار حذف ابزارهای مخرب مراجعه کنید)، می توانید به Crowd Inspect نگاه کنید و ببینید آیا برنامه های پس زمینه مشکوک در حال اجرا هستند در ویندوز
- فرآیندهای مشکوک باید با علامت قرمز با درصد بالا در ستون VT و (یا) یک علامت قرمز در ستون MHR مورد توجه قرار گیرد. شما به سختی آیکون های قرمز را در Inject می بینید، اما اگر شما آن را مشاهده کنید، همچنین توجه داشته باشید.
- اگر پروسه مشکوک است، با کلیک روی دکمه نتایج VT و سپس کلیک بر روی لینک با نتایج اسکن فایل آنتی ویروس، نتایج آن را در VirusTotal ببینید. شما می توانید جستجو برای یک نام فایل در اینترنت را امتحان کنید - معمولا تهدیدات مشترک در انجمن ها و سایت های پشتیبانی می شود.
- اگر نتیجه نتیجه گیری شود که فایل مخرب است، سعی کنید آن را از راه اندازی حذف کنید، برنامه ای را که این فرآیند اعمال شده است حذف کنید و از روش های دیگر برای خلاص شدن از تهدید استفاده کنید.
توجه: در نظر داشته باشید که از نظر بسیاری از آنتی ویروس ها، "برنامه های دانلود" و ابزارهای مشابه محبوب در کشور ما ممکن است نرم افزار نامطلوب بالقوه باشد که در ستون VT و / یا MHR نمایش داده می شود. با این حال، این لزوما به این معنی نیست که آنها خطرناک هستند - هر مورد باید در اینجا مورد توجه قرار گیرد.
بازبینی جمعیت را می توانید از وب سایت رسمی http://www.crowdstrike.com/resources/community-tools/crowdinship-tool/ (پس از کلیک روی دکمه دانلود، باید قبلا شرایط مجوز را در صفحه بعد با کلیک روی Accept برای شروع دانلود بپذیرید). همچنین مفید است: بهترین آنتی ویروس رایگان برای ویندوز 10، 8 و ویندوز 7.