在下面的截圖中，您可以看到 VMware Tools 被禁用的示例，在這里 Autoruns 將Start值更改為4（已禁用），并將原始值2存儲(chǔ)在其自己的AutorunsDisabled值中。

通過注冊(cè)表標(biāo)記實(shí)現(xiàn)禁用啟動(dòng)項(xiàng)

了解 Autoruns 常用選項(xiàng)卡

首先讓我們明確一點(diǎn)——使用 Autoruns 并不需要了解每個(gè)選項(xiàng)卡作用。前面我們已經(jīng)提到過，默認(rèn)情況下，該工具在「Everything」選項(xiàng)卡中打開，其中包括從不同選項(xiàng)卡匯總的所有啟動(dòng)項(xiàng)。您可以輕松地在此列表中管理任何啟動(dòng)項(xiàng)。

但是，如果您只想關(guān)注特定類別啟動(dòng)項(xiàng)，就需要更多地了解選項(xiàng)卡：

• Logon 是 Autoruns 中最重要的選項(xiàng)卡，幾乎所有第三方應(yīng)用程序都在此選項(xiàng)卡中顯示?！窵ogon」選項(xiàng)卡從 Windows 的各個(gè)位置獲取信息，從「開始」菜單到「注冊(cè)表鍵」，提供了最全面的啟動(dòng)項(xiàng)記錄。

Logon 選項(xiàng)卡

• Explorer 正如其名稱所示，此選項(xiàng)卡僅記錄與 Windows 文件資源管理器相關(guān)的擴(kuò)展/插件。它們對(duì) Windows 啟動(dòng)影響通常很小，但您仍然可以查看或刪除任何無用的條目。

Explorer 選項(xiàng)卡

• Scheduled Tasks 也是需要重點(diǎn)關(guān)注和分析的選項(xiàng)卡。計(jì)劃任務(wù)包括預(yù)設(shè)進(jìn)程，會(huì)按照觸發(fā)條件在特定時(shí)間激活，也是隱藏惡意軟件用到的流行方法。

Scheduled Tasks 選項(xiàng)卡

• Services 是一個(gè)有些棘手的選項(xiàng)卡。它包括運(yùn)行重要應(yīng)用程序所必需的經(jīng)過驗(yàn)證的服務(wù)，以及只會(huì)拖慢計(jì)算機(jī)速度的垃圾進(jìn)程。請(qǐng)瀏覽此列表中所有未經(jīng)驗(yàn)證的條目，并刪除您不需要的服務(wù)。

Services 選項(xiàng)卡

推薦閱讀：在 Windows 系統(tǒng)中刪除「服務(wù)」的 4 種方法

• Drivers 大多數(shù)情況下用不到這個(gè)選項(xiàng)卡。偽裝成驅(qū)動(dòng)程序的病毒相對(duì)少見，應(yīng)由您的防病毒軟件來處理。

Drivers 選項(xiàng)卡

• Codecs 是另一個(gè)難以判斷的選項(xiàng)卡。此列表中的條目通常對(duì)應(yīng)于媒體播放所必需的音頻和視頻編解碼器。刪除正常的編解碼器可能會(huì)導(dǎo)致媒體播放問題，因此建議不要輕易更改此選項(xiàng)卡。
• Boot Execute 這個(gè)選項(xiàng)卡可以安全地忽略。它包括系統(tǒng)在引導(dǎo)過程中運(yùn)行的進(jìn)程，例如硬盤掃描等。您可能會(huì)發(fā)現(xiàn)此選項(xiàng)卡為空，因?yàn)榧词共《疽搽y以在操作系統(tǒng)加載之前做太多事情。

一些比較棘手的 bootkit 除外，例如 BlackLotus。

• Image Hijacks 這個(gè)名字看起來就有點(diǎn)邪惡，但的確名副其實(shí)。Image Hijacks 是一個(gè)注冊(cè)表鍵，允許一個(gè)進(jìn)程「劫持」另一個(gè)可執(zhí)行文件，代替其運(yùn)行。除調(diào)試工具外，可以刪除其它條目。

Image Hijacks 選項(xiàng)卡

• AppInit 最初是可以一次性加載多個(gè)系統(tǒng) DLL 的便捷方式。然而，隨著時(shí)間的推移，它成為惡意軟件的主要目標(biāo)，因?yàn)樗鼈兛梢栽诿總€(gè)運(yùn)行時(shí)加載 User32.dll 的應(yīng)用程序中注入自己的進(jìn)程。雖然較新版本的 Windows 在某種程度上削弱了 AppInit 的脆弱性，但它仍然是一個(gè)容易被誤用的功能。除非您有意使用此注冊(cè)表鍵，否則最好刪除此選項(xiàng)卡中的所有條目。

上面提到的都是比較最常用的選項(xiàng)卡。還有其他選項(xiàng)卡，如：Known DLLs、WinLogon、Winsock Providers、Print Monitors、LSA Providers、Network Providers、WMI 和 Office 等。

大多數(shù)情況下，這些選項(xiàng)卡很少使用，并且可能沒有任何條目（空白）。這些選項(xiàng)卡中的任何程序都可能是附加組件或低級(jí)別進(jìn)程。

使用 Autoruns 離線分析

Autoruns 另一個(gè)很酷的功能是可以查看離線 Windows 實(shí)例的 ASEP。在 Windows 無法啟動(dòng)或已經(jīng)被惡意軟件感染的情況下，這個(gè)功能非常有用：

• 如果 Windows 無法啟動(dòng)，離線分析可以識(shí)別和刪除有問題或配置不正確的 ASEP。
• 惡意軟件，特別是 rootkit，可能會(huì)阻止 Autoruns 準(zhǔn)確識(shí)別 ASEP。通過將 Windows 脫機(jī)并從正常 Windows 實(shí)例中查看其 ASEP，這些條目將不會(huì)被隱藏。
• 系統(tǒng)上的惡意文件可能看起來由可信的發(fā)布者簽名，而根證書實(shí)際上也可能來自攻擊者。已知的正常系統(tǒng)未安裝虛假證書，因此會(huì)對(duì)這些文件的簽名驗(yàn)證失敗。

要執(zhí)行離線分析，Autoruns 必須以管理員權(quán)限運(yùn)行，并且必須訪問離線實(shí)例的文件系統(tǒng)。

從「File」菜單中選擇「Analyze Offline System…」識(shí)別目標(biāo)的 Windows「System Root」系統(tǒng)根目錄和「User profile」用戶的配置文件目錄。Autoruns 會(huì)掃描該實(shí)例的目錄和注冊(cè)表文件以獲取 ASEP。

使用 Autoruns 進(jìn)行離線實(shí)例分析

離線 Windows 實(shí)例的注冊(cè)表文件不能在只讀介質(zhì)上。

保存和對(duì)比啟動(dòng)項(xiàng)

Autoruns 允許您以制表符分隔文本和二進(jìn)制(ARN)格式導(dǎo)出結(jié)果：

• 制表符分隔文本 是一種可讀性強(qiáng)的文件，并且可以導(dǎo)入 Excel 表格。
• 二進(jìn)制(ARN)格式 允許比較由不同 Windows 系統(tǒng)導(dǎo)出的結(jié)果。

要導(dǎo)出 Autoruns 條目記錄，請(qǐng)從「File」菜單中選擇「Save…」或者直接使用Ctrl + S快捷鍵導(dǎo)出——在「保存類型」下拉列表中選擇一種需要的格式。

導(dǎo)出 Autoruns 條目

要比較相同或不同系統(tǒng)中的結(jié)果，請(qǐng)從「File」菜單中選擇「Compare…」

對(duì) Autoruns 導(dǎo)出的結(jié)果進(jìn)行對(duì)比

Autoruns 僅顯示差異項(xiàng)。綠色條目?jī)H存在于原始結(jié)果集中，而粉色條目?jī)H存在于比較結(jié)果集中。

SysInternals 出品，必屬精品。Autoruns 提供了一個(gè)易于使用的界面，以簡(jiǎn)化 Windows 啟動(dòng)項(xiàng)管理。

本文已經(jīng)差不多介紹了 Autoruns 的常用功能。實(shí)際上這些功能只是幫助大家入門的開胃菜，相信大家熟練掌握后會(huì)有更多高級(jí)的玩法。

最新評(píng)論