我正在尝试更改 Windows 7 上 Windows 服务(恰好是 ZoneAlarm vsmon 服务)的启动类型(从自动更改为禁用)。该程序设置服务的权限,使得只有 SYSTEM 帐户可以进行更改。
例如,当我以管理员身份运行时,以下sc.exe命令
sc config vsmon start= disabled
给出权限错误。为了解决这个问题,我以 SYSTEM 用户身份启动了命令提示符,使用执行公用事业。
psexec -i -s -d cmd.exe
然后我确认我确实以 SYSTEM 身份运行:
whoami
输出:
nt authority\system
但我遇到了同样的权限错误。
接下来我从同一个 SYSTEM 命令提示符运行 regedit,并验证它确实以 SYSTEM 身份运行:
导航到 HKLM\System\CurrentControlSet\Services\vsmon 处的服务项并尝试手动更改启动类型值但再次出现权限错误:
最后,作为测试,我添加了具有完全控制权的所有人,但出现了同样的错误。
是什么赋予了?
答案1
我不确定 Zone Alarm 是否会这样做,但我知道 ESET 会安装内核模式驱动程序来监控所有 I/O 活动并防止其自己的主动监控系统被禁用(请记住,如果您可以轻松禁用它,那么恶意软件也可以轻松禁用它)。该内核模式驱动程序可以监控对系统注册表的写入并拦截和阻止它们,即使它们来自 SYSTEM 用户。
通常您只有两个选择,一是通过 Zone Alarm 的 GUI 禁用主动监控,这不会停止服务但可能会加快速度(如果这是您要禁用该服务的原因),二是完全卸载该程序。