嗯,我最近遇到了一個奇怪的問題。
每當我嘗試啟動 ProcessMonitor 時,另一個不相關的程式(實際上是 IM 軟體)就會啟動。
最後,我啟動 ProcessMonitor 的唯一方法就是卸載該 IM 軟體。我在同事的計算機上嘗試過 ProcessMonitor,但他們都沒有看到相同的東西。
那麼,你們知道如何解決這個問題嗎?提前致謝。
答案1
檢查以下註冊表項:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
劫持程式執行的最簡單方法是建立一個名為 exe 的子項,
\notepad.exe
和一個使用 exe 路徑作為值的字串“debugger”,劫持者想要執行:
"debugger"="c:\windows\system32\cmd.exe"
現在將執行cmd,而不是記事本。可能是假冒的 IM 創建了這樣的註冊表項。
順便說一句,如果劫持者使用像 svchost 這樣的假除錯器,autoruns 會預設隱藏劫持選項,因為它是 MS 簽署的 exe。
答案2
騰訊 RTX 的商業 IM 計畫也遇到同樣的問題。
透過刪除 typelib 中的一些登錄項目來解決。因此,只需嘗試刪除一些與 IM 程式相關的可疑註冊表項即可。
@Mxx:我一點也不含糊。關鍵是要讓引用 IM 程式執行程式的類型庫/API 不受影響。但他可以使用除我的以外的任何 IM 程序,並且條目可能不一致。所以我認為沒有必要指定我的條目。這裡的重點是找到引用 IM 程式執行程式的 typelibs/apis 條目並將其刪除。
因為它們是類型庫/介面條目,就像我指出的那樣,它們位於 ROOT/Typelib 和 ROOT/Interface 中。具體名稱可以是 IM 程式特定的。就我而言,它們位於 ROOT/TypeLib 中 {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} 的 typelib 中,由 ROOT/Interface 中 {561A4CFD-9878-4022-1FD1A407147678-4022-1FDFp.
但是,不能保證他使用與我的相同的 IM 程式(即 RTX)或他的 IM 程式使用相同的類型庫/接口,因為我沒有成功地將問題複製到其他 IM 程式。順便說一句,簡單地刪除這些條目可能只能暫時解決問題,因為 IM 程式可能稍後會恢復它們,但這超出了本問題的範圍。
因此,我的答案將提供一個指向導致問題的特定IM 程式的特定解決方案的指標- 這樣他就可以開始在ROOT/TypeLib 和/或ROOT/Interface 中尋找包含對特定IM 程式的執行人員的引用的條目導致問題。