답변:
다음 레지스트리 키를 확인하십시오.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
프로그램 실행을 납치하는 가장 간단한 방법은 exe라는 하위 키를 만드는 것입니다.
\notepad.exe
exe 경로를 값으로 사용하는 문자열 "디버거"를 사용하면 하이재커는 다음을 실행하려고합니다.
"debugger"="c:\windows\system32\cmd.exe"
이제 메모장 대신 cmd가 실행됩니다. 아마 가짜 IM은 그런 regkey를 만들었을 것입니다.
그런데 하이재커가 svchost와 같은 가짜 디버거를 사용하면 autoruns는 MS 서명 exe이기 때문에 기본적으로 하이재킹 옵션을 숨 깁니다.
비즈니스 IM 프로그램 Tencent RTX와 동일한 문제가있었습니다.
typelib에서 일부 reg 항목을 삭제하여 해결되었습니다. 따라서 IM 프로그램과 관련된 의심스러운 reg 항목을 제거하십시오.
@Mxx : 전혀 모호하지 않았습니다. 핵심은 IM 프로그램 경영진을 언급하는 typelibs / apis를 얻는 것입니다. 그러나 그는 광산 이외의 IM 프로그램을 사용할 수 있었고 항목이 일치하지 않을 수 있습니다. 그래서 나는 didnt한다 나의 입구를 기술하고있는 어떤 점이있다라고 생각한다. 여기서 중요한 점은 메신저 프로그램 임원을 언급하는 typelibs / apis 항목을 찾아 제거하는 것입니다.
그들이 typelib / interface 항목이기 때문에 나는 ROOT / Typelib과 ROOT / Interface에 있다고 지적했다. 특정 이름은 IM 프로그램에 따라 다를 수 있습니다. 제 경우에는 ROOT / Interface의 {561A4CFD-9878-4022-AD1E-499FDBB0D72F}에있는 유형 인터페이스 'IClientApi'에 의해 참조 된 ROOT / TypeLib의 {1512291F-F2F2-4E52-9F6A-5F0756F3B9CB}에있는 typelib에있었습니다.
그러나 그가 다른 IM 프로그램과 함께 문제를 복제하지 못했던 동일한 유형의 라이브러리 / 인터페이스를 사용하는 IM 프로그램 (RTX) 또는 IM 프로그램과 동일한 IM 프로그램을 사용하고 있다는 보장은 없습니다. 인스턴트 메시징 (IM) 프로그램이 나중에 이들을 복원 할 수 있기 때문에 단순히 항목을 삭제하면 BTW가 일시적으로 문제를 해결할 수 있지만 이는이 질문의 범위를 벗어납니다.
따라서 내 대답은 문제를 일으키는 특정 IM 프로그램에 대한 특정 솔루션에 대한 포인터를 제공 할 것입니다. - 그래서 그는 특정 IM 프로그램의 임원에 대한 참조를 포함하는 ROOT / TypeLib 및 / 또는 ROOT / Interface의 항목을 찾기 시작할 수 있습니다. 문제를 일으킨다.