그런데 최근에 이상한 문제에 직면했습니다.
ProcessMonitor를 시작하려고 할 때마다 다른 관련 없는 프로그램(실제로는 IM 소프트웨어)이 대신 시작됩니다.
결국 ProcessMonitor를 시작하는 유일한 방법은 해당 IM 소프트웨어를 제거하는 것입니다. 동료의 컴퓨터에서 ProcessMonitor를 사용해 보았지만 어느 누구도 같은 것을 보지 못했습니다.
그럼, 여러분은 이 문제를 해결하는 방법을 알고 있나요? 미리 감사드립니다.
답변1
다음 레지스트리 키를 확인하세요.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
프로그램 실행을 가로채는 가장 간단한 방법은 exe라는 이름의 하위 키를 만드는 것입니다.
\notepad.exe
exe 경로를 값으로 사용하는 문자열 "디버거"를 사용하는 경우 하이재커는 다음을 실행하려고 합니다.
"debugger"="c:\windows\system32\cmd.exe"
이제 메모장 대신 cmd가 실행됩니다. 아마도 가짜 IM이 그런 regkey를 만들었을 것입니다.
그런데 하이재커가 svchost와 같은 가짜 디버거를 사용하는 경우 자동 실행은 MS 서명 exe이기 때문에 기본 옵션으로 하이재킹을 숨깁니다.
답변2
비즈니스 IM 프로그램 Tencent RTX와 동일한 문제가 발생했습니다.
typelib에서 일부 reg 항목을 삭제하여 해결되었습니다. 따라서 IM 프로그램과 관련된 일부 의심스러운 등록 항목을 제거해 보십시오.
@Mxx: 나는 전혀 모호하지 않았습니다. 핵심은 IM 프로그램 경영진을 참조하는 typelibs/api를 방해하지 않게 하는 것입니다. 그러나 그는 내 프로그램이 아닌 다른 IM 프로그램을 사용했을 수도 있으며 항목이 일관되지 않을 수도 있습니다. 그래서 나는 내 항목을 지정하는 데 아무런 의미가 없다고 생각했습니다. 여기서 중요한 점은 IM 프로그램 실행 프로그램을 참조하는 typelibs/apis 항목을 찾아서 제거하는 것입니다.
내가 지적한 것처럼 이들은 typelib/인터페이스 항목이기 때문에 ROOT/Typelib 및 ROOT/Interface에 있습니다. 구체적인 이름은 IM 프로그램에 따라 다를 수 있습니다. 제 경우에는 ROOT/Interface의 {561A4CFD-9878-4022-AD1E-499FDBB0D72F}에 있는 유형 인터페이스 'IClientApi'에 의해 참조되는 ROOT/TypeLib의 {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB}의 typelib에 있었습니다.
그러나 다른 IM 프로그램에서 문제를 복제하는 데 성공하지 못했기 때문에 그가 나와 동일한 IM 프로그램(RTX)을 사용하고 있거나 그의 IM 프로그램이 동일한 유형 라이브러리/인터페이스를 사용했다는 보장은 없습니다. 그런데 단순히 해당 항목을 삭제하면 IM 프로그램이 나중에 해당 항목을 복원할 수 있으므로 일시적으로만 문제를 해결할 수 있지만 이는 이 질문의 범위를 벗어납니다.
따라서 내 대답은 문제를 일으키는 특정 IM 프로그램에 대한 특정 솔루션에 대한 포인터를 서버에 제공해야 합니다. 즉, 특정 IM 프로그램의 실행에 대한 참조가 포함된 ROOT/TypeLib 및/또는 ROOT/인터페이스에서 항목을 찾기 시작할 수 있습니다. 문제를 일으키는.