PROCMON与themida的纠葛

以后要记得搞事情放在虚拟机里面搞


PROCMON与themida的纠葛

起因

上周末下了一个冒险岛来玩,打算这周末休息的时候玩一下。结果打开的时候突然报错:

车祸了呀!!!!我的周末呢!!

可恶我的冒险岛我不会放弃你的!

探索

仔细看了以下,这个弹框的上面好像有一个软件的名字:

1
themida

这个东西好像是一个壳嘛!上网搜了一下,果然是,这个壳会检测当前内存中是否存在对文件内容或者注册表监控的程序。我仔细想了以下,最近好像下了一个叫做PROCMON的神器,它的功能就是监控当前系统中的所有文件、注册表、网络操作。如果不是影响了我玩游戏,我本来是打算大吹一波来着,但是现在看来。。。唉

如何去掉影响

可是仔细一想,我下载这个文件的时候,并没有进行安装,而是下载了就拿来用,所以我的第一想法是:

这个程序会修改注册表\往文件夹写文件,导致被检测到

于是祭出第二个神器Everything。将当前名字为PROCMON的程序都搜了出来,并且一一删除。这个时候,我注意到了这个:

这个好像删不掉呀???我试过重启大法,或者直接反找它的对应驱动(但是没找到QvQ),都没能把它删掉!!

好吧让我一一排除。之后打开注册表,把关键字是PROCMON也全删掉了。这下没问题了吧。。。。

[哔哔哔哔!!!!]

内存驻留?

现在大概能够猜到,这个文件可能就是内存驻留?!虽然上课听到过,没想到真的遇到了,大概的操作就是将自己作为驱动,被某个系统级别的程序调用,此时每次开机的时候这个驱动自然就被加载了,就能够做到驻留内存。
现在不是复习的时候呀!每次删掉,都会提示那个令人感动的话语

1
当前程序已被其他进程占用

哇之前的病毒君也是这样!!!就不能友好一点吗?!!!

如果进入安全模式呢?

冷静下来想了一下,听说安全模式下计算机会尽可能少的启动服务,那么安全模式下,加载这个驱动的服务会不会还没有被启动呢?尝试了一下在命令行下启动然后删除文件,结果还真的成功了。。
顺便,这个驱动在文件里面是唯一有隐藏属性的小朋友,看来是相当的不老实

TODO

现在游戏和PROCMON不能共存了有点遗憾,有没有解决的思路呢?

总结

  • 在探索的过程中有过多次不冷静的行为(突然疯狂删除注册表,使用各种软件等等),感觉自己的电脑可能都要打出GG了……以后遇到事情还是要冷静分析以下前因后果。
  • 其实感觉和之前某个大佬说过的话一样,想要了解Windows,首先要认真看它的提示框。这个提示框明明白白写的是存在monitor program,然而我一开始的时候完全摸不着头脑还以为是什么新安装的软件或者它自己损坏了啥的(<---这个好像还真有可能)。其实冷静一下还是能够解决问题的
  • 亲眼目睹了冒险岛(枫之谷)已经变成外挂岛了,感觉突然很艰难。
  • 报错图是盗来的,因为我的问题已经解决了并且不想再变一个图出来了求各位放过QvQ