Ну, я недавно столкнулся со странной проблемой.

Всякий раз, когда я пытаюсь запустить ProcessMonitor, вместо этого запускается другая не относящаяся к делу программа (действительно программное обеспечение для обмена мгновенными сообщениями).

В конце концов, единственный способ запустить ProcessMonitor - это удалить программное обеспечение IM. Я пробовал ProcessMonitor на компьютерах моих коллег, но никто из них не видел того же.

Итак, вы, ребята, есть идеи, как решить эту проблему? Заранее спасибо.

2 ответа2

0

Была идентичная проблема с бизнес-программой IM Tencent RTX.

Решается удалением некоторых записей reg в typelib. Так что просто попробуйте избавиться от некоторых подозрительных записей reg, связанных с программой IM.


@Mxx: я не был расплывчатым вообще. Ключ в том, чтобы убрать typelibs/apis, ссылающиеся на руководителей IM-программ. Но он мог использовать любую программу обмена мгновенными сообщениями, кроме моей, и записи могут быть непоследовательными. Так что я не думал, что есть смысл указывать мои записи. Здесь важно найти записи typelibs/apis, ссылающиеся на руководителей IM-программ, и удалить их.

Поскольку они являются записями typelib/interface, как я указал, они находятся в ROOT/Typelib и ROOT/Interface. Конкретные имена могут быть специфическими для программы IM. В моем случае они были в typelib в {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB} в ROOT/TypeLib, на который ссылался интерфейс типа 'IClientApi' в {561A4CFD-9878-4022-AD1E-499FDBB0D72F} в интерфейсе R.

Однако нет никакой гарантии, что он использовал ту же IM-программу, что и моя (то есть RTX), или что его IM-программа использовала ту же библиотеку типов / интерфейс, что и мне не удалось воспроизвести проблему с другой IM-программой. Кстати, простое удаление этих записей может решить проблему только временно, так как программа IM может восстановить их позже, но это выходит за рамки этого вопроса.

Таким образом, мой ответ должен содержать указатель на конкретное решение для конкретной IM-программы, вызывающей проблему - именно так он мог начать с поиска записей в ROOT/TypeLib и / или ROOT/ Interface, содержащих ссылки на руководителей конкретной IM-программы вызывая проблему.

0

Проверьте следующий раздел реестра:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Самый простой способ перехватить выполнение программы - создать подраздел с именем exe,

\notepad.exe

и строку "отладчик", использующую путь exe в качестве значения, угонщик хочет выполнить:

"debugger"="c:\windows\system32\cmd.exe"

Теперь вместо блокнота будет выполняться cmd. Вероятно, поддельный IM создал такой восторг.

Кстати, если угонщик использует поддельный отладчик, такой как svchost, автозапуск скрывает перехват по умолчанию, потому что это исполняемый файл MS.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .