俞木发

一症状表现

笔者安装优酷客户端的目的是要下载一些视频。但在使用几天后发现了上述的服务占用资源的问题。启动任务管理器后切换到“服务”，在试图停止该服务的运行时，系统却提示“无法完成该操作”（图1）。

切换到“详细信息”，在此可以找到“AlibabaProtect”服务，其运行的路径是“C：＼ProgramFiles（x86）＼AlibabaProtect＼1.0.70.716＼AlibabaProtect.exe”。虽然可以将进程结束，但不到1分钟该进程就会自动“复活”（图2）。

二原因分析

通过上述的操作可以知道，“AlibabaProtect”是一个无法直接停止的系统服务，强行终止后会不断再生，因此后台必然还有一个监控进程。首先判断“AlibabaProtect”服务的安全性，使用WindowsDefender全盘扫描，但没有提示发现病毒。接着根据图2的提示路径，找到“AlibabaProtect.exe”，右击并依次查看“属性→数字签名”，可以看到它有正常数字签名，签名公司是阿里巴巴网络科技有限公司（图3）。再查看其“详细信息”，显示的是“阿里巴巴基础安全服务”，可以判断这是一个正常服务。

接着查找后台监控进程。打开任务管理器，对所有后台进程进行排查，但是并没有发现其他和阿里巴巴相关的进程。由于监控进程会一直监测“AlibabaProtect”服务状态，但是任务管理器无法找出监控进程，因此该进程极有可能是驱动级服务。

对于这类服务可以通过Autoruns程序来查看。启动程序后切换到“驱动”，在服务列表中排查，可以看到一个名为“AliPaladin”的服务，它的“出版商”正是阿里巴巴公司，镜像的路径是“C：＼Windows＼System32＼drivers＼AliPaladin64.sys”（图4）。

选中该项目右击，然后选择“跳转到文件夹”，打开指定目录后查看“AliPaladin64.sys”的签名信息，显示的也是阿里巴巴网络科技有限公司的信息，因此“AliPaladin”服务极可能就是后台监控进程（图5）。如果要实际验证，就需要将“AliPaladin”服务终止。不过由于“AliPaladin”是驱动级服务，在正常状态下无法将其终止，也无法对其启动状态进行更改，我们需要在安全模式下操作。

三问题解决

1.更改服务状态

重启并进入安全模式，接着以管理员身份运行注册表编辑器，依次展开对应服务键值并将其启动类型设置为“已禁用”（图6）。

接着启动服务组件，在服务列表找到“AlibabaPCSafeService”服务，双击打开后，在“常规”选项下将其启动类型设置为“已禁用”;切换到“恢复”，将所有失败后的操作均设置为“无操作”（图7）。

2.测试优酷运行

重启电脑进入系统，此时再运行Autoruns，可以看到“AliPaladin”服务前的勾选已去除，表明这个驱动服务没有自启动（图8）。继续打开任务管理器，其中的“AlibabaProtect”服务也已经处于“停止”状态，并且没有发现再次启动的现象，而且运行优酷后并没有对其功能有任何影响，至此顺利解决问题。

“AlibabaProtect”和“AliPaladin”服务是阿里巴巴系列产品的安全保障服务，为了避免后续再次安装上这些服务并恢复自动设置，可以删除“%Systemroot%＼System32＼drivers＼AliPaladin64.sys”和“%SystemDrive%＼ProgramFiles（x86）＼AlibabaProtect”目录下的所有文件，并設置该目录没有账户拥有写入权限。最后在Autoruns窗口中将上述的两个服务彻底删除掉即可。