智“斗”阿里系保護(hù)服務(wù)

俞木發(fā)

一癥狀表現(xiàn)

筆者安裝優(yōu)酷客戶端的目的是要下載一些視頻。但在使用幾天后發(fā)現(xiàn)了上述的服務(wù)占用資源的問題。啟動任務(wù)管理器后切換到“服務(wù)”，在試圖停止該服務(wù)的運(yùn)行時(shí)，系統(tǒng)卻提示“無法完成該操作”（圖1）。

切換到“詳細(xì)信息”，在此可以找到“AlibabaProtect”服務(wù)，其運(yùn)行的路徑是“C：＼ProgramFiles（x86）＼AlibabaProtect＼1.0.70.716＼AlibabaProtect.exe”。雖然可以將進(jìn)程結(jié)束，但不到1分鐘該進(jìn)程就會自動“復(fù)活”（圖2）。

二原因分析

通過上述的操作可以知道，“AlibabaProtect”是一個(gè)無法直接停止的系統(tǒng)服務(wù)，強(qiáng)行終止后會不斷再生，因此后臺必然還有一個(gè)監(jiān)控進(jìn)程。首先判斷“AlibabaProtect”服務(wù)的安全性，使用WindowsDefender全盤掃描，但沒有提示發(fā)現(xiàn)病毒。接著根據(jù)圖2的提示路徑，找到“AlibabaProtect.exe”，右擊并依次查看“屬性→數(shù)字簽名”，可以看到它有正常數(shù)字簽名，簽名公司是阿里巴巴網(wǎng)絡(luò)科技有限公司（圖3）。再查看其“詳細(xì)信息”，顯示的是“阿里巴巴基礎(chǔ)安全服務(wù)”，可以判斷這是一個(gè)正常服務(wù)。

接著查找后臺監(jiān)控進(jìn)程。打開任務(wù)管理器，對所有后臺進(jìn)程進(jìn)行排查，但是并沒有發(fā)現(xiàn)其他和阿里巴巴相關(guān)的進(jìn)程。由于監(jiān)控進(jìn)程會一直監(jiān)測“AlibabaProtect”服務(wù)狀態(tài)，但是任務(wù)管理器無法找出監(jiān)控進(jìn)程，因此該進(jìn)程極有可能是驅(qū)動級服務(wù)。

對于這類服務(wù)可以通過Autoruns程序來查看。啟動程序后切換到“驅(qū)動”，在服務(wù)列表中排查，可以看到一個(gè)名為“AliPaladin”的服務(wù)，它的“出版商”正是阿里巴巴公司，鏡像的路徑是“C：＼Windows＼System32＼drivers＼AliPaladin64.sys”（圖4）。

選中該項(xiàng)目右擊，然后選擇“跳轉(zhuǎn)到文件夾”，打開指定目錄后查看“AliPaladin64.sys”的簽名信息，顯示的也是阿里巴巴網(wǎng)絡(luò)科技有限公司的信息，因此“AliPaladin”服務(wù)極可能就是后臺監(jiān)控進(jìn)程（圖5）。如果要實(shí)際驗(yàn)證，就需要將“AliPaladin”服務(wù)終止。不過由于“AliPaladin”是驅(qū)動級服務(wù)，在正常狀態(tài)下無法將其終止，也無法對其啟動狀態(tài)進(jìn)行更改，我們需要在安全模式下操作。

三問題解決

1.更改服務(wù)狀態(tài)

重啟并進(jìn)入安全模式，接著以管理員身份運(yùn)行注冊表編輯器，依次展開對應(yīng)服務(wù)鍵值并將其啟動類型設(shè)置為“已禁用”（圖6）。

接著啟動服務(wù)組件，在服務(wù)列表找到“AlibabaPCSafeService”服務(wù)，雙擊打開后，在“常規(guī)”選項(xiàng)下將其啟動類型設(shè)置為“已禁用”;切換到“恢復(fù)”，將所有失敗后的操作均設(shè)置為“無操作”（圖7）。

2.測試優(yōu)酷運(yùn)行

重啟電腦進(jìn)入系統(tǒng)，此時(shí)再運(yùn)行Autoruns，可以看到“AliPaladin”服務(wù)前的勾選已去除，表明這個(gè)驅(qū)動服務(wù)沒有自啟動（圖8）。繼續(xù)打開任務(wù)管理器，其中的“AlibabaProtect”服務(wù)也已經(jīng)處于“停止”狀態(tài)，并且沒有發(fā)現(xiàn)再次啟動的現(xiàn)象，而且運(yùn)行優(yōu)酷后并沒有對其功能有任何影響，至此順利解決問題。

“AlibabaProtect”和“AliPaladin”服務(wù)是阿里巴巴系列產(chǎn)品的安全保障服務(wù)，為了避免后續(xù)再次安裝上這些服務(wù)并恢復(fù)自動設(shè)置，可以刪除“%Systemroot%＼System32＼drivers＼AliPaladin64.sys”和“%SystemDrive%＼ProgramFiles（x86）＼AlibabaProtect”目錄下的所有文件，并設(shè)置該目錄沒有賬戶擁有寫入權(quán)限。最后在Autoruns窗口中將上述的兩個(gè)服務(wù)徹底刪除掉即可。