霸道的 AliPaladin64.sys

背景

不知道说社么好,所以什么都不多说。

前两天需要做个安卓的测试,就下载了一个模拟器,需要关掉 Windows 的 Memory Integrity (以下简称 MI)入驻一个驱动。MI 是 Core Isolation 下一个设置,大家可以在设置里面搜索 Core Isolation 查看。关于 Core Isolation 看这里,就是安全相关的一个设置,还是开起来比较好。当时想赶紧看下测试内容,随意下载了一个模拟器。我想的是,测完了卸载这个模拟器,再打开 MI 就好了。

所以我就关掉了 MI,然后重启了电脑。
在这里插入图片描述
做完了测试,我卸载了模拟器,想打开 MI 的时候发现不行,有一个不兼容的驱动在阻止我打开这个设置(恕我无图,已经移除掉了)。详情一看,是一个叫做 AliPaladin64.sys 的驱动。

好像只要当初安装过阿里的软件就会有这个东西在。当 MI 打开的时候,这个驱动是无法加载的。这次凑巧关掉 MI,就让他钻了空子。

现象

这个驱动,位置在 \windows\system32\drivers,文件名 AliPaladin64.sys。无法直接删除,被占用。正常现象。那就到安全模式下删除一下好了。

不过我想也没那么简单。我到安全模式下删除了这个文件,关掉安全模式,正常启动之后,这个驱动又自动加载了,MI 还是打不开。估计注册表或者其他地方还有猫腻。

搜索了一下,相关的还有一个叫做 AlibabaProtect 的文件夹,位置在 \ProgramData\,注意这个是个隐藏文件夹。

另外,还有一个 AlibabaProtect 进程,下面是 AliProtect 服务,这些都忘了截图。

只是在安全模式下删除 AliPaladin64.sys 是没有用的。

彻底删除 AliPaladin64.sys

Win+R 运行 msconfig,在 Boot 一栏里面勾上 Safe Boot
在这里插入图片描述
在这里插入图片描述
Apply -> OK,重启电脑,进入安全模式。

首先 Win+R,运行 Regedit。先备份一个。然后依次查找 AlibabaAliPal 两个关键词,找到的东西全都删掉(删除之前还是仔细看下键值,是 Alibaba 相关或者 AliPaladin 相关,再删,不要伤及无辜)。我看到注册表中有二进制数据,估计是其他服务会恢复删除掉的 AliPaladin64.sys。得一锅端才行。

注册表干净了。

删除 \ProgramData 下的 AlibabaProtect 文件夹。

删除 \windows\system32\drivers\ 下的 AliPaladin64.sys 文件。

重复进入安全模式的步骤,关掉安全模式,重启电脑。

在 drivers 目录下搜索下 AliPaladin,没有了。
在这里插入图片描述
AlibabaProtect 目录也没有了。
在这里插入图片描述
Memory Integrity 可以正常开启了。
在这里插入图片描述
挖个坑,等空了我在虚拟机搞一下,安装个旺旺,把这些东西都拿回来,procmon 一下看看具体在干什么。

希望对遇到类似情况的小伙伴有用~