在某些情況下，啟動程序和驅(qū)動程序可能會相互干擾，導致系統(tǒng)變得不穩(wěn)定，甚至完全崩潰。Autoruns 這款專業(yè)的 Sysinternals 實用工具，可以讓您輕松查看和管理 Windows 系統(tǒng)的啟動項。

在 Windows 操作系統(tǒng)中，有多達 200 多個不同的自動啟動擴展點，也稱為 ASEP(Autostart Extensibility Points)。這些 ASEP 包括各種注冊表鍵、計劃任務(wù)、服務(wù)、資源管理器擴展以及 Edge 插件等。

通常來說，Windows 啟動項需要合法且有實用價值。然而，許多免費或試用版軟件也會被電腦制造商預(yù)裝在新電腦上。此外，惡意軟件也常常利用 Windows 自動啟動功能，在用戶不知情的情況下，偷偷啟動運行。

為什么使用 Autoruns

Windows 老鳥都知道，Windows 中的msconfig和「任務(wù)管理器」都可以管理 Windows 啟動項。但為什么還要推薦 Autoruns 工具呢？接下來，我們將一一介紹它強大的便捷管理功能。

Windows 最開始在「開始」菜單中提供了一個「啟動文件夾」，供軟件在開機時的登錄過程中加載。后來，又為注冊表添加了 RUN 鍵值，讓應(yīng)用程序能夠注冊開機和用戶登錄時的啟動項。Microsoft 從一開始就考慮到用戶的便利性，才提供應(yīng)用軟件跟隨系統(tǒng)啟動的功能。然而，越來越多的 ISV（軟件開發(fā)商）濫用這個功能，導致在登錄時加載了過多的應(yīng)用程序，嚴重影響用戶的使用體驗。

有鑒于此，越來越多的用戶開始想辦法禁用不需要的應(yīng)用程序隨 Windows 自動啟動。然而，道高一尺，魔高一丈。很多記錄不太良好的應(yīng)用程序開發(fā)商打起了瀏覽器 helper objects、驅(qū)動程序和任務(wù)計劃的主意。更有甚者，還通過 Image Hijacks 和 DLL 注入的方式來強制加載自身。

通過 Autoruns 的強大功能，我們可以快速找出不友好的 Windows 啟動項。但是，讓普通用戶手動檢查系統(tǒng)的各個方面以清理啟動項，幾乎是不可能完成的任務(wù)。因此，下面有請主角 Autoruns 出場。

Autoruns 基本用法

Autoruns 是一個基于標簽/選項卡的工具，針對不同的 ASEP(Autostart Extensibility Points)類型，例如「登錄」、「任務(wù)計劃」「Office」「WMI 」及「服務(wù)」等，都有單獨的標簽選項卡可供使用。通過不同的選項卡，可以有目的性地快速篩選 Windows 啟動項條目。

每次打開 Autoruns 時，默認會指向「Everything」選項卡，該選項卡匯總了當前所有 Windows 啟動項條目的摘要。

Autoruns 快速篩選

在啟用用戶帳戶 控制(UAC) 的 Windows 中運行 Autoruns 時，它會在標準用戶帳戶下啟動。雖然也可以使用 Autoruns 管理普通賬戶，但這樣做會阻止您查看某些 ASEP 條目，并且無法禁用或刪除某些條目。因此，建議以管理員身份啟動 Autoruns。

如果要通過名稱查找特定啟動項，可以使用「Quick filter」快速篩選器。這是一個非常實用的全文查找和篩選功能，只需輸入一些字符，就能將包含特定字段的條目顯示出來。

建議在「Everything」選項卡上使用「Quick filter」，這樣就可以搜索所有 ASEP 類型。

隱藏條目

默認情況下，Autoruns 會自動隱藏掉 Windows 自身的啟動項，同時也可以通過選項將 Microsoft 軟件的啟動項隱藏掉。通常情況下，我們認為 Microsoft 軟件和 Windows 自身的啟動項是必要且安全的。

在 Autoruns 中隱藏 Microsoft 和/或 Windows 條目

• Hide Microsoft Entries：隱藏 Microsoft 軟件啟動項
• Hide Windows Entries：隱藏 Windows 啟動項

顏色標識

Sysinternals 工具非常人性化，其中一個功能是以各種顏色區(qū)分條目。當然，Autoruns 工具也不例外。以下是顏色高亮的說明：

• 黃色 – 表示找不到文件的條目，其目標文件未在預(yù)期位置中找到。
• 粉色 – 表示可疑條目，沒有發(fā)布者或描述，或具有無效的簽名。
• 紫色 – 表示條目的位置或路徑。
• 綠色 – 表示在上次 Autoruns 掃描之后添加的條目。

Autoruns 高亮顏色標識

快捷功能右鍵

Autoruns 另一個有用的功能是右鍵上下文菜單，它允許執(zhí)行多個操作，例如刪除條目等：

Autoruns 快捷功能右鍵

• Jump To Entry 打開配置自啟動項的位置，可能是注冊表項、資源管理器窗口或任務(wù)計劃。
• Jump To Image 打開一個新的 Windows 資源管理器窗口，并選中目標文件。
• Process Explorer 與 Process Explorer 協(xié)同工作。如果條目路徑是一個可執(zhí)行文件，并且該進程正在運行，則 Autoruns 嘗試獲取 Process Explorer(Procexp) 來顯示該進程的屬性。
• Search Online 使用默認瀏覽器和搜索引擎發(fā)起在線搜索。
• Properties 使用 Windows 資源管理器顯示目標文件的屬性。

使用 Autoruns 進行安全識別

Autoruns 內(nèi)置了 Windows 啟動項安全識別功能，我們可以在「Optione」— 「Scan Options」選擇是否啟用：

• Verify code signatures：驗證代碼簽名
• Check VirusTotal.com：VirusTotal 分析

開啟 Autoruns 安全識別功能

驗證代碼簽名

• 如果文件已使用有效的代碼簽名證書進行簽名，并且該證書由 Windows 信任的根證書頒發(fā)機構(gòu)派生，則「Publisher」列中會顯示「Verified」，后跟代碼簽名證書中的主題名稱。

• 如果文件未進行簽名或因任何其他原因驗證失敗，則「Publisher」列中顯示「Not verified」，后跟文件版本資源中的公司名稱（如果存在）。

驗證代碼簽名

掃描可能需要一些時間，因為要驗證每個簽名證書是否已被頒發(fā)者吊銷，并且需要 Internet 連接。

簽名檢查失敗的文件可能被視為可疑，條目會被標記為粉色。

VirusTotal 分析

• Autoruns 可以掃描所有條目并使用 VirusTotal 進行分析。VirusTotal 是一個免費的網(wǎng)絡(luò)服務(wù)，它使用 50 多個殺毒引擎來分析文件。
• 「VirusTotal」列包含超鏈接。如果任何引擎將文件標記為可疑，則鏈接會變成紅色。
• 您還可以右鍵單擊條目并從上下文菜單中選擇「Submit File to VirusTotal」，將可疑文件上傳到 VirusTotal 進行進一步分析。

使用 VirusTotal 在線分析

使用 Autoruns 管理 Windows 啟動項

Autoruns 的核心功能之一就是管理 Windows 啟動項。您可以禁用或完全刪除條目，刪除條目會永久地將其移除，這是不可逆轉(zhuǎn)的操作——沒有回滾或撤銷按鈕。因此，在刪除一個啟動條目時，需要再次確認。

確認刪除條目

僅在明確自己在做什么時再刪除條目。刪除或禁用操作系統(tǒng)所必需的條目時，可能會導致系統(tǒng)不穩(wěn)定或崩潰。

禁用條目的操作方式略有不同，可以通過取消勾選復(fù)選框來禁用一個條目。

在 Autoruns 中禁用啟動項

Autoruns 會記錄一個標記，因此才能夠識別已禁用的條目，并在需要時重新啟用該條目。對于大多數(shù)注冊表條目，Autoruns 會創(chuàng)建一個AutorunsDisabled值來存儲原始值，當再次啟用該條目時，就會將信息放回到原始的注冊表值中。

在下面的截圖中，您可以看到 VMware Tools 被禁用的示例，在這里 Autoruns 將Start值更改為4（已禁用），并將原始值2存儲在其自己的AutorunsDisabled值中。

通過注冊表標記實現(xiàn)禁用啟動項

了解 Autoruns 常用選項卡

首先讓我們明確一點——使用 Autoruns 并不需要了解每個選項卡作用。前面我們已經(jīng)提到過，默認情況下，該工具在「Everything」選項卡中打開，其中包括從不同選項卡匯總的所有啟動項。您可以輕松地在此列表中管理任何啟動項。

但是，如果您只想關(guān)注特定類別啟動項，就需要更多地了解選項卡：

• Logon 是 Autoruns 中最重要的選項卡，幾乎所有第三方應(yīng)用程序都在此選項卡中顯示。「Logon」選項卡從 Windows 的各個位置獲取信息，從「開始」菜單到「注冊表鍵」，提供了最全面的啟動項記錄。

Logon 選項卡

• Explorer 正如其名稱所示，此選項卡僅記錄與 Windows 文件資源管理器相關(guān)的擴展/插件。它們對 Windows 啟動影響通常很小，但您仍然可以查看或刪除任何無用的條目。

Explorer 選項卡

• Scheduled Tasks 也是需要重點關(guān)注和分析的選項卡。計劃任務(wù)包括預(yù)設(shè)進程，會按照觸發(fā)條件在特定時間激活，也是隱藏惡意軟件用到的流行方法。

Scheduled Tasks 選項卡

• Services 是一個有些棘手的選項卡。它包括運行重要應(yīng)用程序所必需的經(jīng)過驗證的服務(wù)，以及只會拖慢計算機速度的垃圾進程。請瀏覽此列表中所有未經(jīng)驗證的條目，并刪除您不需要的服務(wù)。

Services 選項卡

推薦閱讀：在 Windows 系統(tǒng)中刪除「服務(wù)」的 4 種方法

• Drivers 大多數(shù)情況下用不到這個選項卡。偽裝成驅(qū)動程序的病毒相對少見，應(yīng)由您的防病毒軟件來處理。

Drivers 選項卡

• Codecs 是另一個難以判斷的選項卡。此列表中的條目通常對應(yīng)于媒體播放所必需的音頻和視頻編解碼器。刪除正常的編解碼器可能會導致媒體播放問題，因此建議不要輕易更改此選項卡。
• Boot Execute 這個選項卡可以安全地忽略。它包括系統(tǒng)在引導過程中運行的進程，例如硬盤掃描等。您可能會發(fā)現(xiàn)此選項卡為空，因為即使病毒也難以在操作系統(tǒng)加載之前做太多事情。

一些比較棘手的 bootkit 除外，例如 BlackLotus。

• Image Hijacks 這個名字看起來就有點邪惡，但的確名副其實。Image Hijacks 是一個注冊表鍵，允許一個進程「劫持」另一個可執(zhí)行文件，代替其運行。除調(diào)試工具外，可以刪除其它條目。

Image Hijacks 選項卡

• AppInit 最初是可以一次性加載多個系統(tǒng) DLL 的便捷方式。然而，隨著時間的推移，它成為惡意軟件的主要目標，因為它們可以在每個運行時加載 User32.dll 的應(yīng)用程序中注入自己的進程。雖然較新版本的 Windows 在某種程度上削弱了 AppInit 的脆弱性，但它仍然是一個容易被誤用的功能。除非您有意使用此注冊表鍵，否則最好刪除此選項卡中的所有條目。

上面提到的都是比較最常用的選項卡。還有其他選項卡，如：Known DLLs、WinLogon、Winsock Providers、Print Monitors、LSA Providers、Network Providers、WMI 和 Office 等。

大多數(shù)情況下，這些選項卡很少使用，并且可能沒有任何條目（空白）。這些選項卡中的任何程序都可能是附加組件或低級別進程。

使用 Autoruns 離線分析

Autoruns 另一個很酷的功能是可以查看離線 Windows 實例的 ASEP。在 Windows 無法啟動或已經(jīng)被惡意軟件感染的情況下，這個功能非常有用：

• 如果 Windows 無法啟動，離線分析可以識別和刪除有問題或配置不正確的 ASEP。
• 惡意軟件，特別是 rootkit，可能會阻止 Autoruns 準確識別 ASEP。通過將 Windows 脫機并從正常 Windows 實例中查看其 ASEP，這些條目將不會被隱藏。
• 系統(tǒng)上的惡意文件可能看起來由可信的發(fā)布者簽名，而根證書實際上也可能來自攻擊者。已知的正常系統(tǒng)未安裝虛假證書，因此會對這些文件的簽名驗證失敗。

要執(zhí)行離線分析，Autoruns 必須以管理員權(quán)限運行，并且必須訪問離線實例的文件系統(tǒng)。

從「File」菜單中選擇「Analyze Offline System…」識別目標的 Windows「System Root」系統(tǒng)根目錄和「User profile」用戶的配置文件目錄。Autoruns 會掃描該實例的目錄和注冊表文件以獲取 ASEP。

使用 Autoruns 進行離線實例分析

離線 Windows 實例的注冊表文件不能在只讀介質(zhì)上。

保存和對比啟動項

Autoruns 允許您以制表符分隔文本和二進制(ARN)格式導出結(jié)果：

• 制表符分隔文本 是一種可讀性強的文件，并且可以導入 Excel 表格。
• 二進制(ARN)格式 允許比較由不同 Windows 系統(tǒng)導出的結(jié)果。

要導出 Autoruns 條目記錄，請從「File」菜單中選擇「Save…」或者直接使用Ctrl + S快捷鍵導出——在「保存類型」下拉列表中選擇一種需要的格式。

導出 Autoruns 條目

要比較相同或不同系統(tǒng)中的結(jié)果，請從「File」菜單中選擇「Compare…」

對 Autoruns 導出的結(jié)果進行對比

Autoruns 僅顯示差異項。綠色條目僅存在于原始結(jié)果集中，而粉色條目僅存在于比較結(jié)果集中。

SysInternals 出品，必屬精品。Autoruns 提供了一個易于使用的界面，以簡化 Windows 啟動項管理。

本文已經(jīng)差不多介紹了 Autoruns 的常用功能。實際上這些功能只是幫助大家入門的開胃菜，相信大家熟練掌握后會有更多高級的玩法。

最新評論