Autoruns
Introduction
- 由 Sysinternals 針對 Windows 操作系統開發的 startup monitor,為Sysinternals Suite(故障診斷工具套件包)的一部分,可運行於 Windows XP、Windows Server 2003 和更高版本的 Windows 作業系統。
- 可以顯示有哪些程式被配置為在電腦開機或登入時會自動運行。可用於檢測電腦內的惡意程式。
- 可以切換標籤以查看來自不同類別的自動啟動程序,包括:logon entries,xplorer add-ons資源管理器加載項,Internet Explorer加載項(包括Browser Helper Objects (BHOs)),Appinit DLL,image hijacks圖像劫持,boot execute images啟動執行映像,Winlogon notification DLLs,Windows服務和Winsock Layered Service Providers,media codecs媒體編解碼器等。
- Autorunsc is the command-line version of Autoruns.
Usage
-
程式一執行便會開始掃瞄系統中所有程式的啟動項目,如果想中斷程式的掃瞄作業的話,按鍵盤上的[ESC]按鍵來中斷掃描。
-
掃瞄完畢後,「Everything」tag 會顯示所有 Windows 作業系統內可啟動應用程式的設定,並且將不同類別的自動啟動程序顯示在不同的標籤裡:
-
Autoruns 中的項目可以按右鍵砍掉或是將該項目前面的勾勾拿掉(把拿掉勾勾的項目禁用,也就是不會自動啟動),等到確定變更後不會有什麼後遺症的時候,再將該項目刪除。
-
Autoruns 在「Options」選單下有二個好用的選項:「Verify Code Signatures」跟「Hide Microsoft Entries」。這二個選項強烈建議要勾。
- 「Verify Code Signatures」是針對每個項目檢查其是否有數位簽章與簽章是否有效。數位簽章是用來表示該項目的提供者(軟體供應商,例如:Microsoft、Google、Adobe、Sun、Intel、Trend Micro)是誰,有簽章的項目其安全性「相對」有一定的保障,「比較不會」有假造的情事發生,因此有數位簽章的項目可以暫時忽略:
- 「Hide Microsoft Entries」用來將含有 Microsoft 數位簽章的項目隱藏:
-
項目太多時可先看「Description」跟「Publisher」欄位都是空著的項目。對大部分依據正規流程開發的程式而言,「Description」跟「Publisher」欄位或多或少會有一些基本資訊,不會全部都是空的:
- 假如該項目的「Publisher」掛著知名廠商的名號,但沒有數位簽章,那要小心可能是假冒的。可以透過在項目上按滑鼠右鍵中有個「Search online」的選項,到Internet上查察該項目的資訊:
-
Autoruns 會對 process 做初步的判斷並用不同色碼來表示:
- 紫色:該自動執行程式在 Registry 中紀錄的位置。
- 黃色:存在於自動啟動項目裡,但在電腦中無法連結或未安裝在電腦內的程式。
- 粉紅色:沒有發布人的資訊/數位簽章不存在。
- 綠色:最近新增加的啟動項目。
程式一執行便會開始掃瞄系統中所有程式的啟動項目,如果想中斷程式的掃瞄作業的話,按鍵盤上的[ESC]按鍵來中斷掃描。
掃瞄完畢後,「Everything」tag 會顯示所有 Windows 作業系統內可啟動應用程式的設定,並且將不同類別的自動啟動程序顯示在不同的標籤裡:
Autoruns 中的項目可以按右鍵砍掉或是將該項目前面的勾勾拿掉(把拿掉勾勾的項目禁用,也就是不會自動啟動),等到確定變更後不會有什麼後遺症的時候,再將該項目刪除。
Autoruns 在「Options」選單下有二個好用的選項:「Verify Code Signatures」跟「Hide Microsoft Entries」。這二個選項強烈建議要勾。
- 「Verify Code Signatures」是針對每個項目檢查其是否有數位簽章與簽章是否有效。數位簽章是用來表示該項目的提供者(軟體供應商,例如:Microsoft、Google、Adobe、Sun、Intel、Trend Micro)是誰,有簽章的項目其安全性「相對」有一定的保障,「比較不會」有假造的情事發生,因此有數位簽章的項目可以暫時忽略:
- 「Hide Microsoft Entries」用來將含有 Microsoft 數位簽章的項目隱藏:
項目太多時可先看「Description」跟「Publisher」欄位都是空著的項目。對大部分依據正規流程開發的程式而言,「Description」跟「Publisher」欄位或多或少會有一些基本資訊,不會全部都是空的:
- 假如該項目的「Publisher」掛著知名廠商的名號,但沒有數位簽章,那要小心可能是假冒的。可以透過在項目上按滑鼠右鍵中有個「Search online」的選項,到Internet上查察該項目的資訊:
Autoruns 會對 process 做初步的判斷並用不同色碼來表示:
- 紫色:該自動執行程式在 Registry 中紀錄的位置。
- 黃色:存在於自動啟動項目裡,但在電腦中無法連結或未安裝在電腦內的程式。
- 粉紅色:沒有發布人的資訊/數位簽章不存在。
- 綠色:最近新增加的啟動項目。
Autorunsc Usage
Its usage syntax is:autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]
Parameter Description
----------------------------------------
-a Autostart entry selection:
\* All.
b Boot execute.
d Appinit DLLs.
e Explorer addons.
g Sidebar gadgets (Vista and higher)
h Image hijacks.
i Internet Explorer addons.
k Known DLLs.
l Logon startups (this is the default).
m WMI entries.
n Winsock protocol and network providers.
o Codecs.
p Printer monitor DLLs.
r LSA security providers.
s Autostart services and non-disabled drivers.
t Scheduled tasks.
w Winlogon entries.
-c Print output as CSV.
-ct Print output as tab-delimited values.
-h Show file hashes.
-m Hide Microsoft entries (signed entries if used with -v).
-s Verify digital signatures.
-t Show timestamps in normalized UTC (YYYYMMDD-hhmmss).
-u If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files.
-x Print output as XML.
-v[rs] Query VirusTotal for malware based on file hash. Add 'r' to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the 's' option is specified. Note scan results may not be available for five or more minutes.
-vt Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven't accepted the terms and you omit this option, you will be interactively prompted.
-z Specifies the offline Windows system to scan.
user Specifies the name of the user account for which autorun items will be shown. Specify '*' to scan all user profiles.
autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]Parameter Description
----------------------------------------
-a Autostart entry selection:
\* All.
b Boot execute.
d Appinit DLLs.
e Explorer addons.
g Sidebar gadgets (Vista and higher)
h Image hijacks.
i Internet Explorer addons.
k Known DLLs.
l Logon startups (this is the default).
m WMI entries.
n Winsock protocol and network providers.
o Codecs.
p Printer monitor DLLs.
r LSA security providers.
s Autostart services and non-disabled drivers.
t Scheduled tasks.
w Winlogon entries.
-c Print output as CSV.
-ct Print output as tab-delimited values.
-h Show file hashes.
-m Hide Microsoft entries (signed entries if used with -v).
-s Verify digital signatures.
-t Show timestamps in normalized UTC (YYYYMMDD-hhmmss).
-u If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files.
-x Print output as XML.
-v[rs] Query VirusTotal for malware based on file hash. Add 'r' to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the 's' option is specified. Note scan results may not be available for five or more minutes.
-vt Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven't accepted the terms and you omit this option, you will be interactively prompted.
-z Specifies the offline Windows system to scan.
user Specifies the name of the user account for which autorun items will be shown. Specify '*' to scan all user profiles.
留言
張貼留言