在下面的截圖中，您可以看到 VMware Tools 被禁用的示例，在這里 Autoruns 將Start值更改為4（已禁用），并將原始值2存儲在其自己的AutorunsDisabled值中。

通過注冊表標(biāo)記實現(xiàn)禁用啟動項

了解 Autoruns 常用選項卡

首先讓我們明確一點——使用 Autoruns 并不需要了解每個選項卡作用。前面我們已經(jīng)提到過，默認情況下，該工具在「Everything」選項卡中打開，其中包括從不同選項卡匯總的所有啟動項。您可以輕松地在此列表中管理任何啟動項。

但是，如果您只想關(guān)注特定類別啟動項，就需要更多地了解選項卡：

• Logon 是 Autoruns 中最重要的選項卡，幾乎所有第三方應(yīng)用程序都在此選項卡中顯示?！窵ogon」選項卡從 Windows 的各個位置獲取信息，從「開始」菜單到「注冊表鍵」，提供了最全面的啟動項記錄。

Logon 選項卡

• Explorer 正如其名稱所示，此選項卡僅記錄與 Windows 文件資源管理器相關(guān)的擴展/插件。它們對 Windows 啟動影響通常很小，但您仍然可以查看或刪除任何無用的條目。

Explorer 選項卡

• Scheduled Tasks 也是需要重點關(guān)注和分析的選項卡。計劃任務(wù)包括預(yù)設(shè)進程，會按照觸發(fā)條件在特定時間激活，也是隱藏惡意軟件用到的流行方法。

Scheduled Tasks 選項卡

• Services 是一個有些棘手的選項卡。它包括運行重要應(yīng)用程序所必需的經(jīng)過驗證的服務(wù)，以及只會拖慢計算機速度的垃圾進程。請瀏覽此列表中所有未經(jīng)驗證的條目，并刪除您不需要的服務(wù)。

Services 選項卡

推薦閱讀：在 Windows 系統(tǒng)中刪除「服務(wù)」的 4 種方法

• Drivers 大多數(shù)情況下用不到這個選項卡。偽裝成驅(qū)動程序的病毒相對少見，應(yīng)由您的防病毒軟件來處理。

Drivers 選項卡

• Codecs 是另一個難以判斷的選項卡。此列表中的條目通常對應(yīng)于媒體播放所必需的音頻和視頻編解碼器。刪除正常的編解碼器可能會導(dǎo)致媒體播放問題，因此建議不要輕易更改此選項卡。
• Boot Execute 這個選項卡可以安全地忽略。它包括系統(tǒng)在引導(dǎo)過程中運行的進程，例如硬盤掃描等。您可能會發(fā)現(xiàn)此選項卡為空，因為即使病毒也難以在操作系統(tǒng)加載之前做太多事情。

一些比較棘手的 bootkit 除外，例如 BlackLotus。

• Image Hijacks 這個名字看起來就有點邪惡，但的確名副其實。Image Hijacks 是一個注冊表鍵，允許一個進程「劫持」另一個可執(zhí)行文件，代替其運行。除調(diào)試工具外，可以刪除其它條目。

Image Hijacks 選項卡

• AppInit 最初是可以一次性加載多個系統(tǒng) DLL 的便捷方式。然而，隨著時間的推移，它成為惡意軟件的主要目標(biāo)，因為它們可以在每個運行時加載 User32.dll 的應(yīng)用程序中注入自己的進程。雖然較新版本的 Windows 在某種程度上削弱了 AppInit 的脆弱性，但它仍然是一個容易被誤用的功能。除非您有意使用此注冊表鍵，否則最好刪除此選項卡中的所有條目。

上面提到的都是比較最常用的選項卡。還有其他選項卡，如：Known DLLs、WinLogon、Winsock Providers、Print Monitors、LSA Providers、Network Providers、WMI 和 Office 等。

大多數(shù)情況下，這些選項卡很少使用，并且可能沒有任何條目（空白）。這些選項卡中的任何程序都可能是附加組件或低級別進程。

使用 Autoruns 離線分析

Autoruns 另一個很酷的功能是可以查看離線 Windows 實例的 ASEP。在 Windows 無法啟動或已經(jīng)被惡意軟件感染的情況下，這個功能非常有用：

• 如果 Windows 無法啟動，離線分析可以識別和刪除有問題或配置不正確的 ASEP。
• 惡意軟件，特別是 rootkit，可能會阻止 Autoruns 準確識別 ASEP。通過將 Windows 脫機并從正常 Windows 實例中查看其 ASEP，這些條目將不會被隱藏。
• 系統(tǒng)上的惡意文件可能看起來由可信的發(fā)布者簽名，而根證書實際上也可能來自攻擊者。已知的正常系統(tǒng)未安裝虛假證書，因此會對這些文件的簽名驗證失敗。

要執(zhí)行離線分析，Autoruns 必須以管理員權(quán)限運行，并且必須訪問離線實例的文件系統(tǒng)。

從「File」菜單中選擇「Analyze Offline System…」識別目標(biāo)的 Windows「System Root」系統(tǒng)根目錄和「User profile」用戶的配置文件目錄。Autoruns 會掃描該實例的目錄和注冊表文件以獲取 ASEP。

使用 Autoruns 進行離線實例分析

離線 Windows 實例的注冊表文件不能在只讀介質(zhì)上。

保存和對比啟動項

Autoruns 允許您以制表符分隔文本和二進制(ARN)格式導(dǎo)出結(jié)果：

• 制表符分隔文本 是一種可讀性強的文件，并且可以導(dǎo)入 Excel 表格。
• 二進制(ARN)格式 允許比較由不同 Windows 系統(tǒng)導(dǎo)出的結(jié)果。

要導(dǎo)出 Autoruns 條目記錄，請從「File」菜單中選擇「Save…」或者直接使用Ctrl + S快捷鍵導(dǎo)出——在「保存類型」下拉列表中選擇一種需要的格式。

導(dǎo)出 Autoruns 條目

要比較相同或不同系統(tǒng)中的結(jié)果，請從「File」菜單中選擇「Compare…」

對 Autoruns 導(dǎo)出的結(jié)果進行對比

Autoruns 僅顯示差異項。綠色條目僅存在于原始結(jié)果集中，而粉色條目僅存在于比較結(jié)果集中。

SysInternals 出品，必屬精品。Autoruns 提供了一個易于使用的界面，以簡化 Windows 啟動項管理。

本文已經(jīng)差不多介紹了 Autoruns 的常用功能。實際上這些功能只是幫助大家入門的開胃菜，相信大家熟練掌握后會有更多高級的玩法。

最新評論