Skip to main content

使用Autoruns處理啟動進程和惡意軟件

使用Autoruns處理啟動進程和惡意軟件

Geoffrey Carr

大多數極客都有自己選擇的工具來處理自動啟動的進程,無論是MS Config,CCleaner,還是Windows 8中的任務管理器 - 但它們都沒有Autoruns那麼強大,這也是我們Geek School的課程。今天。

學校導航
  1. 什麼是SysInternals工具以及如何使用它們?
  2. 了解Process Explorer
  3. 使用Process Explorer進行故障排除和診斷
  4. 了解進程監視器
  5. 使用進程監視器來排除故障並查找註冊表黑客
  6. 使用Autoruns處理啟動進程和惡意軟件
  7. 使用BgInfo在桌面上顯示系統信息
  8. 使用PsTools從命令行控制其他PC
  9. 分析和管理文件,文件夾和驅動器
  10. 一起包裝和使用工具

在過去,軟件會自動啟動,方法是在“開始”菜單中的“啟動”文件夾中添加一個條目,或者在註冊表的“運行”鍵中添加一個值,但隨著人們和軟件在查找不需要的條目並刪除它們時變得更加精明,可疑軟件的製造商開始尋找越來越多偷偷摸摸的方法。

這些陰暗的crapware公司開始研究如何通過瀏覽器幫助程序對象,服務,驅動程序,計劃任務,甚至通過一些非常先進的技術(如圖像劫持和AppInit_dll)自動加載其軟件。

手動檢查這些條件不僅耗時,而且對普通人來說幾乎不可能。

這就是Autoruns進入並節省一天的地方。當然,您可以使用Process Explorer查看進程列表並深入研究線程和句柄,Process Monitor可以確切地確定哪個進程打開了哪些註冊表項,並向您顯示大量信息。但是,下次啟動PC時,沒有人會阻止再次加載惡意軟件或惡意軟件。

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Autoruns允許您查看計算機上自動加載的所有內容,並將其禁用就像單擊複選框一樣簡單。它非常容易使用,幾乎不言自明,除了你需要知道的一些非常複雜的事情,以了解一些標籤實際意味著什麼。這就是本課的教學內容。

使用Autoruns接口

您可以像其他所有網站一樣從SysInternals網站獲取Autoruns工具,並在不安裝的情況下運行它。在繼續之前你會想要這樣做。

注意: Autoruns不需要以管理員身份運行,但實際上它最有意義的是,因為有一些功能不能正常工作,並且您的惡意軟件很有可能以管理員身份運行。

首次啟動界面時,您會看到大量選項卡以及計算機上自動啟動的一系列選項。默認的Everything選項卡顯示每個選項卡中的所有內容,但它可能有點混亂和冗長,因此我們建議您分別瀏覽每個選項卡。

值得注意的是,默認情況下,Autoruns會隱藏Windows內置的所有內容並設置為自動啟動。您可以在選項中啟用這些項目的顯示,但我們不建議您這樣做。

禁用項目

要禁用列表中的任何項目,只需刪除該複選框即可。這就是你要做的所有事情,只需瀏覽列表並刪除你不需要的所有內容,重新啟動計算機,然後再次運行它以確保一切正常。

注意:一些惡意軟件將不斷監視它們觸發自動啟動的位置,並立即將值恢復。您可以使用F5鍵重新掃描,並在禁用它們後查看是否有任何條目返回。如果其中一個再次出現,您應該使用Process Explorer暫停或終止該惡意軟件,然後再在此處禁用它。

顏色

像大多數SysInternals工具一樣,列表中的項目可以是不同的顏色,這就是它們的含義:

  • - 這意味著未找到發布者信息,或者如果代碼驗證已啟用,則表示數字簽名不存在或不匹配,或者沒有發布者信息。
  • 綠色 - 與前一組Autoruns數據進行比較時使用此顏色,以指示上次不存在的項目。
  • 黃色 - 啟動條目在那裡,但它指向的文件或作業不再存在。

與大多數SysInternals工具一樣,您可以右鍵單擊任何條目並執行許多操作,包括跳轉到條目或圖像(Explorer中的實際文件)。您可以在線搜索進程名稱或列中的數據,查看詳細屬性,或通過Process Explorer快速搜索來查看該條目是否正在運行 - 儘管許多進程都有一個加載器,然後在之前啟動其他內容退出,所以只是因為該功能顯示沒有結果並不意味著什麼。

如果單擊“跳轉到條目”,您將直接進入註冊表編輯器,在那裡您可以看到該特定的註冊表項並環顧四周。如果條目是其他內容,您可能會被帶到另一個實用程序,如任務計劃程序。實際情況是,大多數情況下,Autoruns會在界面中顯示所有相同的信息,因此除非您想了解更多信息,否則通常不需要費心。

用戶菜單允許您分析不同的用戶帳戶,如果您在同一台計算機上的其他帳戶上加載了Autoruns,這可能非常有用。值得注意的是,您顯然需要以管理員身份運行才能在PC上查看其他用戶帳戶。

驗證代碼簽名

“篩選選項”菜單項將您帶到選項面板,您可以在其中選擇一個非常有用的選項:驗證代碼簽名。這將檢查以確保分析和驗證每個數字簽名,並在窗口中顯示結果。您會注意到以下屏幕截圖中的所有粉紅色項目都未經過驗證或發布商信息不存在。

而對於額外的功勞,你可能會注意到下面這個截圖幾乎與開頭附近的截圖相同,只是列表中的一些項目沒有標記為粉紅色。不同之處在於,默認情況下未啟用“驗證代碼簽名”選項,如果不存在發布者信息,Autoruns將僅使用粉紅色行提醒您。

分析脫機系統(如將硬盤連接到另一台PC)

想像一下,你朋友的電腦完全搞砸了,要么不能開機,要么只是開機太慢,以至於你無法真正使用它。您已嘗試安全模式和恢復選項,如係統還原,但無關緊要,因為它無法使用。

而不是拉“重新安裝”卡,這通常只是“我放棄”卡,你可以拿出硬盤驅動器,並用你方便的USB硬盤驅動器連接到你的PC或筆記本電腦。你有一個,對吧?然後你只需加載Autoruns並轉到文件 - >分析脫機系統。

瀏覽以查找其他硬盤驅動器上的Windows目錄,以及您要診斷的用戶的用戶配置文件,然後單擊“確定”以啟動。

當然,您需要對驅動器具有寫入權限,因為您需要保存設置以刪除最終找到的任何廢話。

與另一台PC(或以前的清潔安裝)進行比較

文件 - >比較選項似乎是不明白的,但它可以是分析PC的最強大的方法之一,看看自上次掃描後添加了什麼,或者與已知的干淨PC進行比較。

要使用此功能,只需在您要檢查的PC上加載Autoruns,或使用我們之前描述的離線模式,然後前往文件 - >比較。自比較文件版本以來添加的所有內容都將以亮綠色顯示。就這麼簡單。要保存新版本,請使用“文件” - >“保存”選項。

如果您真的想成為專業人士,可以從新安裝的Windows中保存一個乾淨的配置,並將其放在閃存驅動器上隨身攜帶。每次第一次觸摸PC時都保存一個新版本,以確保您可以快速識別所有者添加的所有新crapware。

看看標籤

正如您所見,Autoruns是一個非常簡單但功能強大的實用程序,幾乎任何人都可以使用它。我的意思是,你所要做的就是取消選中一個盒子吧?但是,有關所有這些標籤的含義的更多信息是有用的,因此我們將嘗試在此教育您。

下一頁:登錄,計劃任務和圖像劫持

Link
Plus
Send
Send
Pin