嗯,最近我遇到了一个奇怪的问题。
每当我尝试启动 ProcessMonitor 时,另一个不相关的程序(实际上是一个 IM 软件)就会启动。
最后,我启动 ProcessMonitor 的唯一方法是卸载该 IM 软件。我曾在同事的电脑上尝试过 ProcessMonitor,但他们都没有看到相同的内容。
那么,你们知道如何解决这个问题吗?提前致谢。
答案1
检查以下注册表项:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
劫持程序执行的最简单方法是创建一个名为 exe 的子项,
\notepad.exe
以及使用 exe 路径作为值的字符串“debugger”,劫持者想要执行:
"debugger"="c:\windows\system32\cmd.exe"
现在将执行 cmd 而不是 notepad。可能是假 IM 创建了这样的注册表项。
顺便说一句,如果劫持者使用像 svchost 这样的假调试器,自动运行会默认隐藏劫持选项,因为它是 MS 签名的 exe。
答案2
与商业即时通讯程序腾讯RTX有同样的问题。
通过删除 typelib 中的某些注册表项解决了这个问题。因此,只需尝试删除与 IM 程序相关的一些可疑注册表项即可。
@Mxx:我一点也不含糊。关键是要让引用 IM 程序执行程序的类型库/API 不受影响。但他可能使用了除我的程序之外的任何 IM 程序,并且条目可能不一致。所以我认为指定我的条目没有任何意义。这里的关键点是找到引用 IM 程序执行程序的类型库/API 条目并删除它们。
因为它们是类型库/接口条目,正如我指出的那样,它们位于 ROOT/Typelib 和 ROOT/Interface 中。具体名称可能是特定于 IM 程序的。在我的例子中,它们位于 ROOT/TypeLib 中的 {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} 处的类型库中,该类型库由 ROOT/Interface 中的 {561A4CFD-9878-4022-AD1E-499FDBB0D72F} 处的类型接口“IClientApi”引用。
但是,不能保证他使用的 IM 程序与我的相同(即 RTX),或者他的 IM 程序使用相同的类型库/接口,因为我没有成功用其他 IM 程序复制该问题。顺便说一句,简单地删除这些条目可能只能暂时解决问题,因为 IM 程序可能会在以后恢复它们,但这超出了本问题的范围。
因此,我的回答将提供指向导致问题的特定 IM 程序的具体解决方案的指针 - 这样他就可以开始在 ROOT/TypeLib 和/或 ROOT/Interface 中寻找包含对导致问题的特定 IM 程序的执行官的引用的条目。