智“斗”阿里系保護服務

俞木發

一癥狀表現

筆者安裝優酷客戶端的目的是要下載一些視頻。但在使用幾天后發現了上述的服務占用資源的問題。啟動任務管理器后切換到“服務”，在試圖停止該服務的運行時，系統卻提示“無法完成該操作”（圖1）。

切換到“詳細信息”，在此可以找到“AlibabaProtect”服務，其運行的路徑是“C：＼ProgramFiles（x86）＼AlibabaProtect＼1.0.70.716＼AlibabaProtect.exe”。雖然可以將進程結束，但不到1分鐘該進程就會自動“復活”（圖2）。

二原因分析

通過上述的操作可以知道，“AlibabaProtect”是一個無法直接停止的系統服務，強行終止后會不斷再生，因此后臺必然還有一個監控進程。首先判斷“AlibabaProtect”服務的安全性，使用WindowsDefender全盤掃描，但沒有提示發現病毒。接著根據圖2的提示路徑，找到“AlibabaProtect.exe”，右擊并依次查看“屬性→數字簽名”，可以看到它有正常數字簽名，簽名公司是阿里巴巴網絡科技有限公司（圖3）。再查看其“詳細信息”，顯示的是“阿里巴巴基礎安全服務”，可以判斷這是一個正常服務。

接著查找后臺監控進程。打開任務管理器，對所有后臺進程進行排查，但是并沒有發現其他和阿里巴巴相關的進程。由于監控進程會一直監測“AlibabaProtect”服務狀態，但是任務管理器無法找出監控進程，因此該進程極有可能是驅動級服務。

對于這類服務可以通過Autoruns程序來查看。啟動程序后切換到“驅動”，在服務列表中排查，可以看到一個名為“AliPaladin”的服務，它的“出版商”正是阿里巴巴公司，鏡像的路徑是“C：＼Windows＼System32＼drivers＼AliPaladin64.sys”（圖4）。

選中該項目右擊，然后選擇“跳轉到文件夾”，打開指定目錄后查看“AliPaladin64.sys”的簽名信息，顯示的也是阿里巴巴網絡科技有限公司的信息，因此“AliPaladin”服務極可能就是后臺監控進程（圖5）。如果要實際驗證，就需要將“AliPaladin”服務終止。不過由于“AliPaladin”是驅動級服務，在正常狀態下無法將其終止，也無法對其啟動狀態進行更改，我們需要在安全模式下操作。

三問題解決

1.更改服務狀態

重啟并進入安全模式，接著以管理員身份運行注冊表編輯器，依次展開對應服務鍵值并將其啟動類型設置為“已禁用”（圖6）。

接著啟動服務組件，在服務列表找到“AlibabaPCSafeService”服務，雙擊打開后，在“常規”選項下將其啟動類型設置為“已禁用”;切換到“恢復”，將所有失敗后的操作均設置為“無操作”（圖7）。

2.測試優酷運行

重啟電腦進入系統，此時再運行Autoruns，可以看到“AliPaladin”服務前的勾選已去除，表明這個驅動服務沒有自啟動（圖8）。繼續打開任務管理器，其中的“AlibabaProtect”服務也已經處于“停止”狀態，并且沒有發現再次啟動的現象，而且運行優酷后并沒有對其功能有任何影響，至此順利解決問題。

“AlibabaProtect”和“AliPaladin”服務是阿里巴巴系列產品的安全保障服務，為了避免后續再次安裝上這些服務并恢復自動設置，可以刪除“%Systemroot%＼System32＼drivers＼AliPaladin64.sys”和“%SystemDrive%＼ProgramFiles（x86）＼AlibabaProtect”目錄下的所有文件，并設置該目錄沒有賬戶擁有寫入權限。最后在Autoruns窗口中將上述的兩個服務徹底刪除掉即可。