背景
不知道说社么好,所以什么都不多说。
前两天需要做个安卓的测试,就下载了一个模拟器,需要关掉 Windows 的 Memory Integrity
(以下简称 MI)入驻一个驱动。MI 是 Core Isolation 下一个设置,大家可以在设置里面搜索 Core Isolation 查看。关于 Core Isolation 看这里,就是安全相关的一个设置,还是开起来比较好。当时想赶紧看下测试内容,随意下载了一个模拟器。我想的是,测完了卸载这个模拟器,再打开 MI 就好了。
所以我就关掉了 MI,然后重启了电脑。
做完了测试,我卸载了模拟器,想打开 MI 的时候发现不行,有一个不兼容的驱动在阻止我打开这个设置(恕我无图,已经移除掉了)。详情一看,是一个叫做 AliPaladin64.sys
的驱动。
好像只要当初安装过阿里的软件就会有这个东西在。当 MI 打开的时候,这个驱动是无法加载的。这次凑巧关掉 MI,就让他钻了空子。
现象
这个驱动,位置在 \windows\system32\drivers
,文件名 AliPaladin64.sys
。无法直接删除,被占用。正常现象。那就到安全模式下删除一下好了。
不过我想也没那么简单。我到安全模式下删除了这个文件,关掉安全模式,正常启动之后,这个驱动又自动加载了,MI 还是打不开。估计注册表或者其他地方还有猫腻。
搜索了一下,相关的还有一个叫做 AlibabaProtect
的文件夹,位置在 \ProgramData\
,注意这个是个隐藏文件夹。
另外,还有一个 AlibabaProtect 进程,下面是 AliProtect 服务,这些都忘了截图。
只是在安全模式下删除 AliPaladin64.sys
是没有用的。
彻底删除 AliPaladin64.sys
Win+R
运行 msconfig
,在 Boot
一栏里面勾上 Safe Boot
。
Apply
-> OK
,重启电脑,进入安全模式。
首先 Win+R
,运行 Regedit
。先备份一个。然后依次查找 Alibaba
,AliPal
两个关键词,找到的东西全都删掉(删除之前还是仔细看下键值,是 Alibaba 相关或者 AliPaladin 相关,再删,不要伤及无辜)。我看到注册表中有二进制数据,估计是其他服务会恢复删除掉的 AliPaladin64.sys
。得一锅端才行。
注册表干净了。
删除 \ProgramData
下的 AlibabaProtect
文件夹。
删除 \windows\system32\drivers\
下的 AliPaladin64.sys
文件。
重复进入安全模式的步骤,关掉安全模式,重启电脑。
在 drivers 目录下搜索下 AliPaladin,没有了。
AlibabaProtect 目录也没有了。
Memory Integrity 可以正常开启了。
挖个坑,等空了我在虚拟机搞一下,安装个旺旺,把这些东西都拿回来,procmon 一下看看具体在干什么。
希望对遇到类似情况的小伙伴有用~