优发娱乐

 找回密码
 用户注册
扫一扫,访问微社区
QQ登录 只需一步,快速开始
搜索
查看: 576|回复: 2
打印 上一主题 下一主题

[原创] 过滤X映像劫持导致QQ无法启动

[复制链接]
签到天数: 96 天[LV.6]常住居民II
跳转到指定楼层
楼主
发表于 2018-1-9 00:21:45 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
先上图:

DebugView监控运行日志:



直接运行目录下的qq.exe:



我把随便其它目录下的winbox.exe改qq.exe也无法启动:



打开PCHunter映像劫持结果:



劫持注册表:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]

"debugger"="C:\\Windows\\system32\\mscmd.exe"





  为什么判断是过滤X呢,通过mscmd.exe这个进程判断的,之前屏蔽过滤X广告的时候,屏蔽过该进程,所以印象深刻,该进程执行完成之后就会消失,所以你们可以通过开机加载ProcessMonitor,然后Process Tree查看谁创建的。

解决办法:

知道原因就很容易解决了,有很多工具可以。如果不使用工具的话,直接以下注册表项别给权限就行。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe]
分享到:  微信微信 QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏1 转播转播 分享分享 分享淘帖 顶 踩
签到天数: 51 天[LV.5]常住居民I
沙发
发表于 2018-1-9 08:16:29 | 只看该作者
分析很到位!
回复 支持 反对 使用道具 举报
签到天数: 359 天[LV.8]以坛为家I
藤椅
发表于 2018-1-12 21:25:17 | 只看该作者
技术贴,顶起。。。
回复 支持 反对 使用道具 举报
您需要登录后才可以回帖 登录 | 用户注册
本版积分规则
手机版|法律顾问|联系我们|关于我们|优发娱乐 ( 沪ICP备12007241号 ) GMT+8, 2018-6-25 06:18 , Processed in 0.070156 second(s), 24 queries .
Powered by Discuz! X3.3 © 2001-2017 Comsenz Inc.
快速回复 返回顶部 返回列表

优发娱乐

百度360搜索搜狗搜索

优发娱乐

百度360搜索搜狗搜索