Недавно я столкнулся со странной проблемой.
Всякий раз, когда я пытаюсь запустить ProcessMonitor, вместо него запускается другая нерелевантная программа (на самом деле, программа для обмена мгновенными сообщениями).
В конце концов, единственный способ запустить ProcessMonitor — удалить это программное обеспечение для обмена мгновенными сообщениями. Я пробовал ProcessMonitor на компьютерах моих коллег, но никто из них не видит того же самого.
Итак, есть ли у вас какие-нибудь идеи, как это решить? Спасибо заранее.
решение1
Проверьте следующий раздел реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Самый простой способ перехватить выполнение программы — создать подключаемый ключ с именем exe,
\notepad.exe
и строку «debugger», использующую путь к исполняемому файлу в качестве значения, злоумышленник хочет выполнить:
"debugger"="c:\windows\system32\cmd.exe"
Теперь вместо блокнота будет выполняться cmd. Вероятно, поддельный IM создал такой regkey.
Кстати, если угонщик использует поддельный отладчик вроде svchost, autoruns по умолчанию скрывает перехват, поскольку это подписанный MS exe-файл.
решение2
Возникла идентичная проблема с программой обмена мгновенными сообщениями для бизнеса Tencent RTX.
Решено удалением некоторых записей reg в typelib. Так что просто попробуйте избавиться от некоторых подозрительных записей reg, связанных с программой IM.
@Mxx: Я вовсе не был неопределенным. Главное — убрать typelibs/apis, ссылающиеся на руководителей программы IM. Но он мог использовать любую программу IM, кроме моей, и записи могли быть непоследовательными. Поэтому я не думал, что есть смысл указывать мои записи. Главное здесь — найти записи typelibs/apis, ссылающиеся на руководителей программы IM, и удалить их.
Поскольку они являются записями typelib/interface, как я уже указывал, они находятся в ROOT/Typelib и ROOT/Interface. Конкретные имена могут быть специфичны для программы IM. В моем случае они были в typelib по адресу {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} в ROOT/TypeLib, на который ссылался интерфейс типа 'IClientApi' по адресу {561A4CFD-9878-4022-AD1E-499FDBB0D72F} в ROOT/Interface.
Однако нет никакой гарантии, что он использовал ту же программу обмена сообщениями, что и моя (а именно RTX), или что его программа обмена сообщениями использовала ту же библиотеку типов/интерфейс, поскольку мне не удалось воспроизвести проблему с другой программой обмена сообщениями. Кстати, простое удаление этих записей может решить проблему только временно, поскольку программа обмена сообщениями может восстановить их позже, но это выходит за рамки данного вопроса.
Таким образом, мой ответ будет содержать ссылку на конкретное решение для конкретной программы обмена мгновенными сообщениями, вызывающей проблему, — просто чтобы он мог начать поиск записей в ROOT/TypeLib и/или ROOT/Interface, содержащих ссылки на руководителей конкретной программы обмена мгновенными сообщениями, вызывающей проблему.