在某些情況下，啟動(dòng)程序和驅(qū)動(dòng)程序可能會(huì)相互干擾，導(dǎo)致系統(tǒng)變得不穩(wěn)定，甚至完全崩潰。Autoruns 這款專業(yè)的 Sysinternals 實(shí)用工具，可以讓您輕松查看和管理 Windows 系統(tǒng)的啟動(dòng)項(xiàng)。

在 Windows 操作系統(tǒng)中，有多達(dá) 200 多個(gè)不同的自動(dòng)啟動(dòng)擴(kuò)展點(diǎn)，也稱為 ASEP(Autostart Extensibility Points)。這些 ASEP 包括各種注冊(cè)表鍵、計(jì)劃任務(wù)、服務(wù)、資源管理器擴(kuò)展以及 Edge 插件等。

通常來(lái)說(shuō)，Windows 啟動(dòng)項(xiàng)需要合法且有實(shí)用價(jià)值。然而，許多免費(fèi)或試用版軟件也會(huì)被電腦制造商預(yù)裝在新電腦上。此外，惡意軟件也常常利用 Windows 自動(dòng)啟動(dòng)功能，在用戶不知情的情況下，偷偷啟動(dòng)運(yùn)行。

Autoruns(啟動(dòng)項(xiàng)管理軟件) v14.11 綠色漢化版 64/32位

• 類型：系統(tǒng)輔助
• 大?。?/span>1.47MB
• 語(yǔ)言：簡(jiǎn)體中文
• 時(shí)間：2024-02-14

查看詳情

為什么使用 Autoruns

Windows 老鳥(niǎo)都知道，Windows 中的msconfig和「任務(wù)管理器」都可以管理 Windows 啟動(dòng)項(xiàng)。但為什么還要推薦 Autoruns 工具呢？接下來(lái)，我們將一一介紹它強(qiáng)大的便捷管理功能。

Windows 最開(kāi)始在「開(kāi)始」菜單中提供了一個(gè)「啟動(dòng)文件夾」，供軟件在開(kāi)機(jī)時(shí)的登錄過(guò)程中加載。后來(lái)，又為注冊(cè)表添加了 RUN 鍵值，讓?xiě)?yīng)用程序能夠注冊(cè)開(kāi)機(jī)和用戶登錄時(shí)的啟動(dòng)項(xiàng)。Microsoft 從一開(kāi)始就考慮到用戶的便利性，才提供應(yīng)用軟件跟隨系統(tǒng)啟動(dòng)的功能。然而，越來(lái)越多的 ISV（軟件開(kāi)發(fā)商）濫用這個(gè)功能，導(dǎo)致在登錄時(shí)加載了過(guò)多的應(yīng)用程序，嚴(yán)重影響用戶的使用體驗(yàn)。

有鑒于此，越來(lái)越多的用戶開(kāi)始想辦法禁用不需要的應(yīng)用程序隨 Windows 自動(dòng)啟動(dòng)。然而，道高一尺，魔高一丈。很多記錄不太良好的應(yīng)用程序開(kāi)發(fā)商打起了瀏覽器 helper objects、驅(qū)動(dòng)程序和任務(wù)計(jì)劃的主意。更有甚者，還通過(guò) Image Hijacks 和 DLL 注入的方式來(lái)強(qiáng)制加載自身。

通過(guò) Autoruns 的強(qiáng)大功能，我們可以快速找出不友好的 Windows 啟動(dòng)項(xiàng)。但是，讓普通用戶手動(dòng)檢查系統(tǒng)的各個(gè)方面以清理啟動(dòng)項(xiàng)，幾乎是不可能完成的任務(wù)。因此，下面有請(qǐng)主角 Autoruns 出場(chǎng)。

Autoruns 基本用法

Autoruns 是一個(gè)基于標(biāo)簽/選項(xiàng)卡的工具，針對(duì)不同的 ASEP(Autostart Extensibility Points)類型，例如「登錄」、「任務(wù)計(jì)劃」「Office」「WMI 」及「服務(wù)」等，都有單獨(dú)的標(biāo)簽選項(xiàng)卡可供使用。通過(guò)不同的選項(xiàng)卡，可以有目的性地快速篩選 Windows 啟動(dòng)項(xiàng)條目。

每次打開(kāi) Autoruns 時(shí)，默認(rèn)會(huì)指向「Everything」選項(xiàng)卡，該選項(xiàng)卡匯總了當(dāng)前所有 Windows 啟動(dòng)項(xiàng)條目的摘要。

Autoruns 快速篩選

在啟用用戶帳戶 控制(UAC) 的 Windows 中運(yùn)行 Autoruns 時(shí)，它會(huì)在標(biāo)準(zhǔn)用戶帳戶下啟動(dòng)。雖然也可以使用 Autoruns 管理普通賬戶，但這樣做會(huì)阻止您查看某些 ASEP 條目，并且無(wú)法禁用或刪除某些條目。因此，建議以管理員身份啟動(dòng) Autoruns。

如果要通過(guò)名稱查找特定啟動(dòng)項(xiàng)，可以使用「Quick filter」快速篩選器。這是一個(gè)非常實(shí)用的全文查找和篩選功能，只需輸入一些字符，就能將包含特定字段的條目顯示出來(lái)。

建議在「Everything」選項(xiàng)卡上使用「Quick filter」，這樣就可以搜索所有 ASEP 類型。

隱藏條目

默認(rèn)情況下，Autoruns 會(huì)自動(dòng)隱藏掉 Windows 自身的啟動(dòng)項(xiàng)，同時(shí)也可以通過(guò)選項(xiàng)將 Microsoft 軟件的啟動(dòng)項(xiàng)隱藏掉。通常情況下，我們認(rèn)為 Microsoft 軟件和 Windows 自身的啟動(dòng)項(xiàng)是必要且安全的。

在 Autoruns 中隱藏 Microsoft 和/或 Windows 條目

• Hide Microsoft Entries：隱藏 Microsoft 軟件啟動(dòng)項(xiàng)
• Hide Windows Entries：隱藏 Windows 啟動(dòng)項(xiàng)

顏色標(biāo)識(shí)

Sysinternals 工具非常人性化，其中一個(gè)功能是以各種顏色區(qū)分條目。當(dāng)然，Autoruns 工具也不例外。以下是顏色高亮的說(shuō)明：

• 黃色 – 表示找不到文件的條目，其目標(biāo)文件未在預(yù)期位置中找到。
• 粉色 – 表示可疑條目，沒(méi)有發(fā)布者或描述，或具有無(wú)效的簽名。
• 紫色 – 表示條目的位置或路徑。
• 綠色 – 表示在上次 Autoruns 掃描之后添加的條目。

Autoruns 高亮顏色標(biāo)識(shí)

快捷功能右鍵

Autoruns 另一個(gè)有用的功能是右鍵上下文菜單，它允許執(zhí)行多個(gè)操作，例如刪除條目等：

Autoruns 快捷功能右鍵

• Jump To Entry 打開(kāi)配置自啟動(dòng)項(xiàng)的位置，可能是注冊(cè)表項(xiàng)、資源管理器窗口或任務(wù)計(jì)劃。
• Jump To Image 打開(kāi)一個(gè)新的 Windows 資源管理器窗口，并選中目標(biāo)文件。
• Process Explorer 與 Process Explorer 協(xié)同工作。如果條目路徑是一個(gè)可執(zhí)行文件，并且該進(jìn)程正在運(yùn)行，則 Autoruns 嘗試獲取 Process Explorer(Procexp) 來(lái)顯示該進(jìn)程的屬性。
• Search Online 使用默認(rèn)瀏覽器和搜索引擎發(fā)起在線搜索。
• Properties 使用 Windows 資源管理器顯示目標(biāo)文件的屬性。

使用 Autoruns 進(jìn)行安全識(shí)別

Autoruns 內(nèi)置了 Windows 啟動(dòng)項(xiàng)安全識(shí)別功能，我們可以在「Optione」— 「Scan Options」選擇是否啟用：

• Verify code signatures：驗(yàn)證代碼簽名
• Check VirusTotal.com：VirusTotal 分析

開(kāi)啟 Autoruns 安全識(shí)別功能

驗(yàn)證代碼簽名

• 如果文件已使用有效的代碼簽名證書(shū)進(jìn)行簽名，并且該證書(shū)由 Windows 信任的根證書(shū)頒發(fā)機(jī)構(gòu)派生，則「Publisher」列中會(huì)顯示「Verified」，后跟代碼簽名證書(shū)中的主題名稱。

• 如果文件未進(jìn)行簽名或因任何其他原因驗(yàn)證失敗，則「Publisher」列中顯示「Not verified」，后跟文件版本資源中的公司名稱（如果存在）。

驗(yàn)證代碼簽名

掃描可能需要一些時(shí)間，因?yàn)橐?yàn)證每個(gè)簽名證書(shū)是否已被頒發(fā)者吊銷，并且需要 Internet 連接。

簽名檢查失敗的文件可能被視為可疑，條目會(huì)被標(biāo)記為粉色。

VirusTotal 分析

• Autoruns 可以掃描所有條目并使用 VirusTotal 進(jìn)行分析。VirusTotal 是一個(gè)免費(fèi)的網(wǎng)絡(luò)服務(wù)，它使用 50 多個(gè)殺毒引擎來(lái)分析文件。
• 「VirusTotal」列包含超鏈接。如果任何引擎將文件標(biāo)記為可疑，則鏈接會(huì)變成紅色。
• 您還可以右鍵單擊條目并從上下文菜單中選擇「Submit File to VirusTotal」，將可疑文件上傳到 VirusTotal 進(jìn)行進(jìn)一步分析。

使用 VirusTotal 在線分析

使用 Autoruns 管理 Windows 啟動(dòng)項(xiàng)

Autoruns 的核心功能之一就是管理 Windows 啟動(dòng)項(xiàng)。您可以禁用或完全刪除條目，刪除條目會(huì)永久地將其移除，這是不可逆轉(zhuǎn)的操作——沒(méi)有回滾或撤銷按鈕。因此，在刪除一個(gè)啟動(dòng)條目時(shí)，需要再次確認(rèn)。

確認(rèn)刪除條目

僅在明確自己在做什么時(shí)再刪除條目。刪除或禁用操作系統(tǒng)所必需的條目時(shí)，可能會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定或崩潰。

禁用條目的操作方式略有不同，可以通過(guò)取消勾選復(fù)選框來(lái)禁用一個(gè)條目。

在 Autoruns 中禁用啟動(dòng)項(xiàng)

Autoruns 會(huì)記錄一個(gè)標(biāo)記，因此才能夠識(shí)別已禁用的條目，并在需要時(shí)重新啟用該條目。對(duì)于大多數(shù)注冊(cè)表?xiàng)l目，Autoruns 會(huì)創(chuàng)建一個(gè)AutorunsDisabled值來(lái)存儲(chǔ)原始值，當(dāng)再次啟用該條目時(shí)，就會(huì)將信息放回到原始的注冊(cè)表值中。

在下面的截圖中，您可以看到 VMware Tools 被禁用的示例，在這里 Autoruns 將Start值更改為4（已禁用），并將原始值2存儲(chǔ)在其自己的AutorunsDisabled值中。

通過(guò)注冊(cè)表標(biāo)記實(shí)現(xiàn)禁用啟動(dòng)項(xiàng)

了解 Autoruns 常用選項(xiàng)卡

首先讓我們明確一點(diǎn)——使用 Autoruns 并不需要了解每個(gè)選項(xiàng)卡作用。前面我們已經(jīng)提到過(guò)，默認(rèn)情況下，該工具在「Everything」選項(xiàng)卡中打開(kāi)，其中包括從不同選項(xiàng)卡匯總的所有啟動(dòng)項(xiàng)。您可以輕松地在此列表中管理任何啟動(dòng)項(xiàng)。

但是，如果您只想關(guān)注特定類別啟動(dòng)項(xiàng)，就需要更多地了解選項(xiàng)卡：

• Logon 是 Autoruns 中最重要的選項(xiàng)卡，幾乎所有第三方應(yīng)用程序都在此選項(xiàng)卡中顯示?！窵ogon」選項(xiàng)卡從 Windows 的各個(gè)位置獲取信息，從「開(kāi)始」菜單到「注冊(cè)表鍵」，提供了最全面的啟動(dòng)項(xiàng)記錄。

Logon 選項(xiàng)卡

• Explorer 正如其名稱所示，此選項(xiàng)卡僅記錄與 Windows 文件資源管理器相關(guān)的擴(kuò)展/插件。它們對(duì) Windows 啟動(dòng)影響通常很小，但您仍然可以查看或刪除任何無(wú)用的條目。

Explorer 選項(xiàng)卡

• Scheduled Tasks 也是需要重點(diǎn)關(guān)注和分析的選項(xiàng)卡。計(jì)劃任務(wù)包括預(yù)設(shè)進(jìn)程，會(huì)按照觸發(fā)條件在特定時(shí)間激活，也是隱藏惡意軟件用到的流行方法。

Scheduled Tasks 選項(xiàng)卡

• Services 是一個(gè)有些棘手的選項(xiàng)卡。它包括運(yùn)行重要應(yīng)用程序所必需的經(jīng)過(guò)驗(yàn)證的服務(wù)，以及只會(huì)拖慢計(jì)算機(jī)速度的垃圾進(jìn)程。請(qǐng)瀏覽此列表中所有未經(jīng)驗(yàn)證的條目，并刪除您不需要的服務(wù)。

Services 選項(xiàng)卡

推薦閱讀：在 Windows 系統(tǒng)中刪除「服務(wù)」的 4 種方法

• Drivers 大多數(shù)情況下用不到這個(gè)選項(xiàng)卡。偽裝成驅(qū)動(dòng)程序的病毒相對(duì)少見(jiàn)，應(yīng)由您的防病毒軟件來(lái)處理。

Drivers 選項(xiàng)卡

• Codecs 是另一個(gè)難以判斷的選項(xiàng)卡。此列表中的條目通常對(duì)應(yīng)于媒體播放所必需的音頻和視頻編解碼器。刪除正常的編解碼器可能會(huì)導(dǎo)致媒體播放問(wèn)題，因此建議不要輕易更改此選項(xiàng)卡。
• Boot Execute 這個(gè)選項(xiàng)卡可以安全地忽略。它包括系統(tǒng)在引導(dǎo)過(guò)程中運(yùn)行的進(jìn)程，例如硬盤掃描等。您可能會(huì)發(fā)現(xiàn)此選項(xiàng)卡為空，因?yàn)榧词共《疽搽y以在操作系統(tǒng)加載之前做太多事情。

一些比較棘手的 bootkit 除外，例如 BlackLotus。

• Image Hijacks 這個(gè)名字看起來(lái)就有點(diǎn)邪惡，但的確名副其實(shí)。Image Hijacks 是一個(gè)注冊(cè)表鍵，允許一個(gè)進(jìn)程「劫持」另一個(gè)可執(zhí)行文件，代替其運(yùn)行。除調(diào)試工具外，可以刪除其它條目。

Image Hijacks 選項(xiàng)卡

• AppInit 最初是可以一次性加載多個(gè)系統(tǒng) DLL 的便捷方式。然而，隨著時(shí)間的推移，它成為惡意軟件的主要目標(biāo)，因?yàn)樗鼈兛梢栽诿總€(gè)運(yùn)行時(shí)加載 User32.dll 的應(yīng)用程序中注入自己的進(jìn)程。雖然較新版本的 Windows 在某種程度上削弱了 AppInit 的脆弱性，但它仍然是一個(gè)容易被誤用的功能。除非您有意使用此注冊(cè)表鍵，否則最好刪除此選項(xiàng)卡中的所有條目。

上面提到的都是比較最常用的選項(xiàng)卡。還有其他選項(xiàng)卡，如：Known DLLs、WinLogon、Winsock Providers、Print Monitors、LSA Providers、Network Providers、WMI 和 Office 等。

大多數(shù)情況下，這些選項(xiàng)卡很少使用，并且可能沒(méi)有任何條目（空白）。這些選項(xiàng)卡中的任何程序都可能是附加組件或低級(jí)別進(jìn)程。

使用 Autoruns 離線分析

Autoruns 另一個(gè)很酷的功能是可以查看離線 Windows 實(shí)例的 ASEP。在 Windows 無(wú)法啟動(dòng)或已經(jīng)被惡意軟件感染的情況下，這個(gè)功能非常有用：

• 如果 Windows 無(wú)法啟動(dòng)，離線分析可以識(shí)別和刪除有問(wèn)題或配置不正確的 ASEP。
• 惡意軟件，特別是 rootkit，可能會(huì)阻止 Autoruns 準(zhǔn)確識(shí)別 ASEP。通過(guò)將 Windows 脫機(jī)并從正常 Windows 實(shí)例中查看其 ASEP，這些條目將不會(huì)被隱藏。
• 系統(tǒng)上的惡意文件可能看起來(lái)由可信的發(fā)布者簽名，而根證書(shū)實(shí)際上也可能來(lái)自攻擊者。已知的正常系統(tǒng)未安裝虛假證書(shū)，因此會(huì)對(duì)這些文件的簽名驗(yàn)證失敗。

要執(zhí)行離線分析，Autoruns 必須以管理員權(quán)限運(yùn)行，并且必須訪問(wèn)離線實(shí)例的文件系統(tǒng)。

從「File」菜單中選擇「Analyze Offline System…」識(shí)別目標(biāo)的 Windows「System Root」系統(tǒng)根目錄和「User profile」用戶的配置文件目錄。Autoruns 會(huì)掃描該實(shí)例的目錄和注冊(cè)表文件以獲取 ASEP。

使用 Autoruns 進(jìn)行離線實(shí)例分析

離線 Windows 實(shí)例的注冊(cè)表文件不能在只讀介質(zhì)上。

保存和對(duì)比啟動(dòng)項(xiàng)

Autoruns 允許您以制表符分隔文本和二進(jìn)制(ARN)格式導(dǎo)出結(jié)果：

• 制表符分隔文本 是一種可讀性強(qiáng)的文件，并且可以導(dǎo)入 Excel 表格。
• 二進(jìn)制(ARN)格式 允許比較由不同 Windows 系統(tǒng)導(dǎo)出的結(jié)果。

要導(dǎo)出 Autoruns 條目記錄，請(qǐng)從「File」菜單中選擇「Save…」或者直接使用Ctrl + S快捷鍵導(dǎo)出——在「保存類型」下拉列表中選擇一種需要的格式。

導(dǎo)出 Autoruns 條目

要比較相同或不同系統(tǒng)中的結(jié)果，請(qǐng)從「File」菜單中選擇「Compare…」

對(duì) Autoruns 導(dǎo)出的結(jié)果進(jìn)行對(duì)比

Autoruns 僅顯示差異項(xiàng)。綠色條目?jī)H存在于原始結(jié)果集中，而粉色條目?jī)H存在于比較結(jié)果集中。

SysInternals 出品，必屬精品。Autoruns 提供了一個(gè)易于使用的界面，以簡(jiǎn)化 Windows 啟動(dòng)項(xiàng)管理。

本文已經(jīng)差不多介紹了 Autoruns 的常用功能。實(shí)際上這些功能只是幫助大家入門的開(kāi)胃菜，相信大家熟練掌握后會(huì)有更多高級(jí)的玩法。

最新評(píng)論