AutoRuns下载安装使用教程(图文教程)超详细

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

AutoRuns 是微软提供的一款「启动项管理」工具,可以检查开机自动加载的所有程序,比系统自带的 msconfig.exe 更全。常在应急响应时查找启动项留下的后门。

AutoRuns

  • 1、下载安装
  • 2、功能使用
    • 2.1、界面字段
    • 2.2、可疑项目
    • 2.3、扫描方式
    • 2.4、隐藏启动项
  • 3、实战案例
    • 3.1、检查Chrome是否自启动
    • 3.2、查找木马
    • 3.3、比较差异

1、下载安装

1)微软官网下载:
https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns

AutoRuns下载安装使用教程(图文教程)超详细_第1张图片

2)右键解压「免安装」

在这里插入图片描述

3)双击 exe 文件即可运行,这里以 Autoruns64.exe 为例。

AutoRuns下载安装使用教程(图文教程)超详细_第2张图片
注意:启动时默认以「标准用户」运行,这可能会导致有些启动项没有权限禁用和删除,推荐「管理员方式」运行。

2、功能使用

2.1、界面字段

1)打开后有19个「界面」

  • Everything (所有):从其他18个页面汇总的所有启动项。打钩开启,不打钩取消。
  • Logon (登录):用户的启动文件夹、注册表的启动项。
  • Explorer (资源管理器):Windows资源管理器在注册表上的值。
  • Internet Explorer (IE浏览器):浏览器的帮助程序对象、工具栏和扩展对应的注册表的值。
  • Scheduled Tasks (计划任务):和 taskschd.msc 打开的任务计划程序的内容一样。
  • Services (服务):HKLM\System\CurrentControlSet\Services注册表对应的开机启动项,常被ROOTKIT病毒植入。
  • Drivers (驱动):HKLM\System\CurrentControlSet\Services注册表对应的开机启动的驱动。
  • Codecs :媒体播放所需要的编解码器
  • Boot Execute (引导执行):系统在引导过程中运行的进程。
  • Image Hijacks (镜像劫持):是一个注册表键,允许一个进程劫持另一个可执行文件。
  • AppInit (应用初始化):开机时初始化的动态链接库文件。
  • Known DLLs (已知DLL):系统中已知的DLL文件。
  • Winlogon (Windows登录通知):WINLOGON登陆项对应的注册表子项及值项。
  • Winsock Providers (Winsock提供商):恶意软件会伪装成Winsock服务商实现自我安装。
    - LSA Providers (本地安全授权): 处理所有安全认证的服务。

每个页面展示的「字段」都是一样的:

  • 名称( Autoruns Entry
  • 描述( Description
  • 发行者( Publisher
  • 路径( Image Path
  • 时间戳( Timestamp

在这里插入图片描述

2.2、可疑项目

列表中的项目,可以根据「颜色」来区分是否可疑:

  • 黄色:没有文件路径,在预期位置找不到文件路径。
  • 粉色:可疑项目,没有(签名)发行者或描述,not verified。
  • 紫色:该项目的位置或路径。
  • 绿色:上次扫描后新增的项目。

勾选表示开机自启动,取消勾选表示取消开机自启动,可疑项目也可以右键删除。

注意:勾选可以取消,但删除「无法回滚」,会永久删除,删除系统启动项可能会导致系统不稳定或崩溃。

AutoRuns下载安装使用教程(图文教程)超详细_第3张图片

右键的其他选项:

  • Jump to Emtry :打开启动项的「位置」
  • Jump to Image :打开新窗口,并选中目标「文件」
  • Process Explorer :调用 Process Explorer 来显示该进程的属性。
  • Search Online :使用默认浏览器搜索。
  • Properties :显示「文件属性」

2.3、扫描方式

扫描设置中,可以选择识别方式:

AutoRuns下载安装使用教程(图文教程)超详细_第4张图片

识别方式可以选择检查「文件签名」,或者用「VT检查」

  • 「文件签名」:签名证书有效,并且证书由Windows信任的机构颁发显示 Verified;未签名或验证失败显示 Not verified
  • 「VT检查」:将可疑文件上传到 VirusTotal 平台分析,恶意文件会标红。

AutoRuns下载安装使用教程(图文教程)超详细_第5张图片

2.4、隐藏启动项

Autoruns默认隐藏Windows自身的启动项,我们可以手动开启,或者把 Microsoft 启动项也隐藏。

通常情况下,Windows 和 Microsoft 启动项是必要且安全的。

AutoRuns下载安装使用教程(图文教程)超详细_第6张图片

3、实战案例

3.1、检查Chrome是否自启动

  1. 在上方的搜索栏(Quick Filter)输入程序名Chrome
  2. 查看是否勾选(勾选=自启动)不想自启动就取消勾选。
  3. 最下面可以显示程序的位置和启动参数。右键Jump to Image可以打开文件位置。

AutoRuns下载安装使用教程(图文教程)超详细_第7张图片

3.2、查找木马

1)木马程序通常没有数字签名,描述(Description)和发行者(Publisher)字段为空的项。比如:这个7-Zip就没有数字签名,很可疑。

AutoRuns下载安装使用教程(图文教程)超详细_第8张图片

2)可疑项,右键 Search Online 用默认浏览器搜索,或者手动搜索物理路径对应的文件名。能搜到说明正常;搜不到就很可疑,因为病毒的名字通常是随便起一个。

AutoRuns下载安装使用教程(图文教程)超详细_第9张图片

3)也可以从物理路径中将文件复制出来用杀软或沙箱扫描,确认恶意后删除文件。

3.3、比较差异

  1. file-save 保存为文件
  2. file-Compare 与另一个已经保存的文件比较差异,不同的启动项用绿色标记出来。

你可能感兴趣的:(《网络安全快速入门》,安全,机器学习,人工智能,网络安全)