搜索
当前位置:趣投网 > 数码产品 > 正文

autoruns Autoruns详尽使用教程

数码产品认证作者
导语:名称:AUTORUNSPS:" auto " = " automatic ";" run " = " run所以,“autoruns”=自启动项目团队,大家肯定都明白它的目的——一个用来管理启动自启动项目团队的软件。首先看看这个包是什么DD:图1如图2所示,我的AUTORUNS忘记从哪里下载了。好像只有AUT

名称:AUTORUNS

PS:" auto " = " automatic ";" run " = " run所以,“autoruns”=自启动项目团队,大家肯定都明白它的目的——一个用来管理启动自启动项目团队的软件。

首先看看这个包是什么DD:

图1

如图2所示,我的AUTORUNS忘记从哪里下载了。好像只有AUTORUNS.EXE就够了,其他DD大概也不是你需要的!帮助文档完全是英文的,谁有兴趣自己翻译;其他人............个人觉得都是鸡肋!双击软件包中的文件AUTORUNS.EXE,可以进入软件主程序的窗口:

图2

自动运行程序主界面如图3所示:

图3

锋利的工具很管用。第一次用软件的时候默认字体是8号,比较小,对于近视的同志来说是一种折磨。按照以下步骤,在弹出的对话框中,将字体调整为数字10或以上:

图4

图5

调整字体后,我们可以看到15个标签,列表中的所有内容都以类似注册表编辑器的方式显示。

图6

下面简单介绍一下每个标签的含义:“All”——顾名思义,所有的引导项目都在这个标签下。此外,它也是双击autoruns.exe弹出的默认定位标签,包括其他标签的所有内容。“登录”——细心的朋友可以发现,在这个标签下,HKLM 软件微软 Windows 当前版本运行,HKCU 软件微软 Windows 当前版本运行两个注册表子项的内容与系统配置实用程序“开始”选项卡下检查的项目完全相同,甚至登录图标也与系统配置实用程序MSCONFIG.EXE的图标完全相同,呵呵!当然,除了上述项目外,该选项卡还包括HKLM 系统当前控制集控制终端服务器 WDS rdpwd startupprograms、HKLM 软件微软 windowsnt 当前版本 Winlogon Userinit、hklm 软件微软 windowsnt 当前版本 winlogon shell,这些在系统配置实用程序的“开始”选项卡上是看不到的。“资源管理器”:注册表中对应资源管理器的子项和值项。“互联网浏览器”:对应所有浏览器帮助对象的注册表子项和注册表值、网络URL地址搜索挂钩、各种IE工具栏以及IE中常用的工具栏按钮。“计划任务”:与“开始”——“程序”——“附件”——“系统信息”——“任务计划”中的内容完全一致,一般为/[/k0/】。“服务”:即hklm system current control set services对应的引导自启动服务项。因为它具有引导和自启动功能,并且可以通过ROOTKIT技术秘密运行,是病毒最喜欢光顾的地方。“驱动程序”:hklm system current control set services对应的启动自启动驱动程序的条目。同上,病毒经常出没的另一个天堂。“启动和执行”:系统登录前启动的本地镜像文件和自启动项目。形象地理解一下,好像是上升系统在落地前扫描了这样的自启动项目。“镜像劫持”:该标签下内容对应的应用被系统强行劫持,启动后无法运行。“APPINIT”:初始化动态链接库,其内容是系统启动时加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要在这里添加DLL文件以达到从启动就接管系统底层的目的,这个项目一般应该是空。“KNOWNDLLS”:系统中已知的DLL文件。" winlogon ":与WINLOGON:" WINLOGON "项对应的自启动注册表子项和值项。WINSOCK提供程序:显示已注册的WINSOCK协议,包括WINSOCK服务提供程序。目前能移除这个项目下内容的工具屈指可数,所以恶意软件经常伪装成WINSOCK服务提供商自己安装。AUTORUNS可以卸载该项下的内容,但不能禁用它们。“打印监视器”:显示打印后台处理程序服务中加载的动态链接库文件。一些恶意软件可能使用此服务项目来实现引导和自启动。”LSA提供商”:LSA的全称是“本地安全机构”——本地安全机构,是Windows系统中非常重要的服务,所有安全认证相关的处理都必须通过。它从Winlogon.exe获得用户的帐户和密码,然后通过密钥机制对其进行处理,并将其与存储在帐户数据库中的密钥进行比较。如果比较结果匹配,LSA认为用户的身份有效,并允许用户登录到计算机。如果比较结果不匹配,LSA认为用户的身份无效。此时,用户无法登录到计算机。现在是时候进入正题了。在此之前,我们需要逐一了解软件窗口下菜单栏的用法。在讲解菜单功能之前,我们要统一一下思路:软件窗口项目列表中的灰色部分在这里称为自启动项,白色部分称为自启动值项。记住!

一、主要功能菜单介绍:

“文档”

该菜单项的下拉菜单项包括:

1.“搜索”:可用于查找和定位所有包含输入字段的自启动项目和价值项目。更实用的功能。

2.“比较”:用于比较当前状态和以前保存的日志之间的差异,并设置标记。如果您选择此菜单项,将弹出一个对话框,要求您选择以前保存的日志。选择所需日志后,单击打开。如果所选日志的自启动项目和自启动值项目与当前状态不同,自动运行将以绿色突出显示,表明先前的自启动项目之间存在差异。超级有用的功能。

3.“保存”和“另存为”:对于保存日志,这里就不说了。

4.“刷新”:...通过。

5.“退出”:....

图7

“项目”

该菜单项的下拉菜单项包括:

1.“删除”:如果选择了自启动值项,则该菜单项可用于删除所选的启动项;

2.“复制”:可以将选中的自启动项目和自启动价值项目进行复制,也可以通过“粘贴”将启动项目和自启动价值项目的内容复制到其他需要使用的地方。

3.“验证”:选择此菜单项后,软件会自动验证列表中选择的启动值项的数字签名,可以发现病毒和流氓软件的缺陷。

4.“跳转到”:选择此菜单项后,会自动定位所选推广人项和自启动值项在注册表中的对应位置。是一个实用的功能,多用于编辑有问题但无法删除的自启动值项,从而修改一些被病毒强行修改的系统核心的自启动值项的注册表值项。

5.“GOOGLE/MSN”:选择一个自启动项和一个自启动值项后,选择该菜单项以所选内容为字段在GOOGLE/MSN上搜索。

6.“进程浏览器”:这个东西我用不了。提示有错误,但我得先过。

7.“属性”:快速显示自启动值项对应文件的属性,是一个非常方便的功能。有时候可以通过查找文件属性的相关数据来判断文件是否正常。

图8

该菜单项的下拉菜单项包括:

1.“包括空白色起始位置”:如果AUTORUNS找不到自起始值项的起始位置,该值项将以空白色显示。也就是说,如果AUTORUN找不到图像文件对应的自启动项目,选择此菜单会显示AUTORUNS无法识别的自启动项目。选中或取消选中后,“刷新”将生效。

2.“验证代码签名”:一个非常实用的函数,用来验证所有自启动值项的文件签名。如果验证通过,自启动值项基本可以排除作为恶意软件的启动项。检查后,“刷新”将生效。

3.“隐藏微软项目”:也是一个很实用的功能,可以隐藏微软认证项目,因为不再显示微软认证项目,可以怀疑的自启动项和自启动价值项大大减少,降低了发现异常自启动价值项的难度和工作量。检查后,“刷新”将生效。

4.“字体”:以前用过...............................................................................................................................................................

5.“搜索引擎”:有两个子菜单项,GOOGLE和MSN。选中其中一项后,选中的一项将作为AUTORUNS的默认搜索引擎,直接反映在“项目”下拉菜单中或者右键单击自启动项和自启动值项弹出菜单中的第五项。

“用户”

该菜单项的下拉菜单项包括:

操作系统版本-用户帐户名称和操作系统版本-超级管理员用户帐户名称。菜单项和用户帐户一样多。例如,在此菜单项的下拉菜单中,只有两个子项目:“winxppsp2-* * *”和“WINXPSP2-ADMINISTRATOR”。用鼠标左键选择不同的项目,可以实时切换不同账户下的自启动项目和自启动价值项目。

帮助:直接跳过。

二、常用工具栏介绍

菜单栏下面,有一个由一排按钮组成的常用工具栏。按照下图中标记的顺序,简单介绍一下:

图11

1号按钮:“保存”按钮

第二个按钮:“刷新”按钮

第三个按钮:“查找”按钮

按钮4:“属性”按钮

按钮5:“删除”按钮

6号按钮:“跳转”按钮

图10

第三,特色功能

相对于注册表编辑器的庞大数据库,AUTORUNS更专业——只管理启动项,使用起来更容易,更有针对性。这也是AUTORUNS软件最大的特点。

使用“文件”——“比较”功能,在保存日志时,可以很容易地找出当前系统添加的自启动项和自启动值项,这使得检查添加的自启动项是否正常更加方便。

“验证代码签名”和“隐藏微软项目”两个功能,更容易判断某个自启动项和自启动值项是否是恶意软件,否则项目太多,会让你晕头转向。

“跳转”菜单项与注册表建立快速切换,特别适合调用注册表编辑器编辑一些被恶意软件强行插入病毒模块字段的注册表值项。

“属性”菜单项可以通过右键点击自启动项直接调出,或者选择该项后通过“项”-“属性”调出,自启动项指向的图像文件的“属性”可以直接定位显示,方便利用文件创建时间、大小、版本号等因素判断图像文件是否正常,应该是一个非常方便且有特色的功能!

第四,实战案例

案例1:删除有问题的驱动程序保护

比如一个未知的驱动项目USBVM31B。通过SRENG扫描日志发现计算机中SYS是活动的!

怎么办?按照下面的步骤,你会发现原来的病毒驱动防护并不复杂:

1.双击AUTORUNS.exe进入自动运行窗口。

图12

2.选项——勾选“隐藏微软项目”——按菜单栏下常用工具栏中的“刷新”按钮,排除不必要的正常自启动项目;

图13

3.“文件”-“搜索”-“输入”USBVM31B。SYS "-输入,并让AUTORUNS自动搜索包括" usbvm31b。并定位它;

图14

图15

如上图,发现USBVM31B。SYS DD有驱动保护,驱动保护项为ZSMC301B

图16

4.右键单击找到的项目栏,选择“验证”,然后按菜单栏下的“刷新”按钮进行刷新。发现AUTORUNS提示“验证失败”,有点怀疑;

图17

5.右键单击项目栏并选择“属性”。发现图像文件是今天创建的。因为最近没有安装新的软硬件,感觉有很大的安全隐患。

图18

6.右键点击项目栏,选择“GOOGLE/MSN”,在网上搜索图像文件的相关信息:

图19

7.检查网络上的数据后,文件被识别为病毒文件,证明自启动项目ZSMC301B是病毒的驱动保护。右键单击项目栏并选择“删除”。删除自启动项目后,病毒文件USBVM31B。SYS失去了驱动保护,没用,可以直接“shift”+“del”删除。

图20

8.为了彻底避免以后的麻烦,根据AUTORUNS提供的信息找到镜像文件,删除文件c: Windows System32 Drivers usbvm 31b . sys。

图21

案例二:通过“对比”检查你目前的自启动项目是否有问题。

如果AUTORUNS的日志是之前机器正常的时候保存的,但是目前很明显机器有问题,可以通过以下方法简单确认可能是恶意软件添加的自启动项:

1.双击打开autoruns.exe,进入自动运行窗口,依次点击文件-比较;

图22

2.在弹出的对话框中选择先前保存的日志后,单击打开;

图23

3.此时,AUTORUNS会将当前自启动项目与打开日志中的项目进行比较。如果当前自启动项目多于或少于旧日志中的项目,整个列表中的项目将以绿色突出显示!

图24

4.接下来,您可以保存一个新日志,将其与旧日志进行比较,并寻找不同的自启动项目。如果新日志中的启动项目比旧日志中的多,首先确认多个启动项目是否是恶意的自启动项目,这可以根据情况1的步骤2至6进行检测。如果确认额外的自启动项目异常,请参考案例1的步骤7-8进行清理。

案例三:使用AUTORUNS和注册表编辑器之间的快速链接“跳转到…”来修复自启动值项被病毒修改无法删除的值。

我们知道HKLM 软件微软 Windows NT 当前版本 Winlogon 用户初始化不能删除,否则系统无法登录,注册表值为“C: Windows System32 用户初始化”。在正常情况下。当病毒或恶意软件入侵时,可能会导致注册表值更改为“C: Windows System32 userinit.exe,ABC。EXE”。这个额外的ABC.EXE是病毒插入的病毒从系统登录开始的病毒过程。您不允许在自动运行中修改自启动项目的值。我该怎么办?不用担心,AUTORUNS已经想到了这一点,可以按照以下方法来做:

1.双击打开autoruns.exe并进入自动运行窗口。

2.“选项”——勾选“隐藏微软项目”——按菜单栏下常用工具栏中的“刷新”按钮,排除不必要的正常自启动项目;

3.“文件”-“搜索”-输入“C: Windows System32 userinit . exe”-输入,让AUTORUNS自动搜索包含“C: Windows System32 userinit . exe”字段的自启动值项并定位;

图25

4.右键点击这个自启动值项,选择“跳转到……”会发现弹出注册表编辑器窗口,表示AUTORUNS已经链接到注册表编辑器。在注册表编辑器中对应的注册表值中,发现病毒已经入侵了自启动项目,并发布了一个ABC.EXE以启动自己的userinit.exe:

图26

5.使用注册表编辑器修改该值项的值,从“C: Windows System32 userinit.exe,ABC。EXE "被病毒修改为正常" C: Windows System32 userinit . EXE "

图27

7.手动删除病毒进程文件c:windowssystem32ABC。EXE,清洗完毕。

一知半解:有些自启动值项目无法删除。除了上面提到的“C: Windows System32 userinit . exe”,还有几个常用的自启动项也属于这种情况:

HKEY _ local _ machine software Microsoft Windows NT current version Windows Appinit _ dll,正常值一般为空;

HKEY _ local _ machine software Microsoft Windows NT current version Winlogon ui host,其正常值应为“logonui.exe”。

总结:1。总的来说,autoruns是一款功能强大的软件,尤其是添加自启动项目前后的对比功能,是它最大的亮点。对于那些机器突然从正常变到异常的同志,会大大缩小你的搜索范围。

此外,根据登录启动模式的不同分类,方便用户缩小范围,提高效率。当然autoruns8.53的缺点也很明显,主要是对不能删除的核心自启动项缺乏保护。自启动项目一旦删除,将会造成严重后果。比如删除自启动项目后,会直接导致引导反复注销账号,甚至无法进入安全模式。只能通过重新安装系统或使用第三方软件来修复。所以新手使用时一定要慎重;另外,日志比较功能不是很人性化,无法准确定位当前自启动项和日志自启动项的区别,用户只能知道当前自启动项与前一个相比发生了变化,而不知道变化在哪里,通过再次保存日志来手动与旧日志进行比较有点麻烦;另外,随着SRENG等旧系统扫描工具功能的增强,AUTORUNS的优势也越来越不明显,最新版本的AUTORUNS8.61实际上已经成为安装版本。

无论如何,我们都需要一些好的系统扫描和检查工具。虽然autoruns8.53有一定的局限性,但是很容易学习,可以如你所愿。

免责申明:以上内容属作者个人观点,版权归原作者所有,不代表趣投网立场!登载此文只为提供信息参考,并不用于任何商业目的。如有侵权或内容不符,请联系我们处理,谢谢合作!
当前文章地址:https://www.qthbsb.com/shuma/643727.html 感谢你把文章分享给有需要的朋友!
上一篇:巨型蚱蜢 世界十种体积最大的虫:古老巨型虫体长达2.4米 下一篇: 掌机 骨灰玩家晒珍藏 讲述你不知道的掌机屏幕进化史

相关文章