|
autoruns是Sysinternals公司出品的一款功能強大的自啟動項管理器,能全面地顯示系統自啟動項并且進行修改或刪除。
如果你不想它運行也可以通過你安裝的360的自啟動項關閉它,但autoruns絕對是正常程序. AutoRuns Autoruns Autorunsfor Windows 是 Mark Russinovich 和 Bryce Cogswell 開發的一款軟件,它能用于顯示在 Windows啟動或登錄時自動運行的程序,并且允許用戶有選擇地禁用或刪除它們,例如那些在“啟動”文件夾和注冊表相關鍵中的程序。此外,Autoruns還可以修改包括:Windows 資源管理器的 Shell 擴展(如右鍵彈出菜單)、IE瀏覽器插件(如工具欄擴展)、系統服務和設備驅動程序、計劃任務等多種不同的自啟動程序。 Autoruns 作為Sysinternals Suite (故障診斷工具套裝)的一部分,現在的最新發布是 9.5 版本,可運行于 WindowsXP、Windows Server 2003 和更高版本的 Windows 操作系統。該軟件還包括一個相同功能的命令行版本Autorunsc,可以把結果報表以 CSV 格式輸出。Autoruns的官方網站是:http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx(英文) 和 http://technet.microsoft.com/zh-cn/bb963902.aspx (中文)。 AutoRuns介紹 AutoRuns是一款出色的啟動項目管理工具,首先我們來談一下它的作用:AUTORUNSR的作用就是檢查開機自動加載的所有程序,例如硬件驅動程序,windows核心啟動程序和應用程序.它比windows自帶的msconfig.exe還要強大,通過它我們還可以看到一些在msconfig里面無法查看到的病毒和木馬以及惡意插件程序.還能夠詳細的把啟動項目加載的所有程序列出來。比如logon,explorer,還有IE上加載的dll跟其它組鍵. “全部”--顧名思義,全部的開機自啟動項都在這個標簽下啦。另外,它也是雙擊autoruns.exe彈出窗口缺省定位的標簽,包括其他標簽的所有內容。 “登陸”--細心的朋友可以發現,該標簽下HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run這兩個注冊表子項的內容與系統配置實用程序“啟動”標簽下打勾的項目是完全一樣的,甚至“登陸”的圖標也和系統配置實用程序MSCONFIG.EXE的圖標完全相同,呵呵!當然,除了以上項目外,該標簽還包括HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell這三個自啟動子項的內容,這些是用系統配置實用程序“啟動”標簽看不到的內容。 “資源管理器”:對應資源管理器在注冊表上的子項和值項。 “英特網瀏覽器”:對應的是IE所有瀏覽器幫助對象(BHO)、網絡URL地址搜索鉤子、各類IE工具條以及IE常用工具欄按鈕所對應的注冊表子項和注冊表值項值。 “計劃任務”:和“開始”--“程序”--“附件”--“系統信息”--“任務計劃”中的內容是完全一致的,一般為空。 “服務”:即HKLM\System\CurrentControlSet\Services對應的開機自啟動服務的項目。由于具備開機自啟動功能,而且依靠ROOTKIT技術可以隱蔽運行,所以是病毒(流氓軟件)最愛光臨的地方。 “驅動”:即HKLM\System\CurrentControlSet\Services對應的開機自啟動驅動程序的項目。同上,又一個病毒經常光臨的樂園。 “啟動執行”:在系統登陸前啟動的本地映像文件(即WINDOWS映像文件的對稱)及自啟動項的情況。形象地理解一下,就是貌似瑞星的系統登陸前掃描這樣的自啟動項。 “映像劫持”:在此標簽下的內容對應的應用程序,開機后即被系統強制劫持而不能運行(就是我們經常說的IFEO,即系統自帶的應用程序映像劫持功能)。 “APPINIT”:初始化動態鏈接庫,其內容是開機時系統加載的必要的初始化動態鏈接庫文件。除了卡巴斯基等少數軟件需要通過添加DLL文件到此處實現從開機就接管系統底層的目的外,一般此項目應為空。 “KNOWNDLLS”:系統中已知的DLL文件。 “WINLOGON”:WINLOGON登陸項對應的自啟動注冊表子項及值項。 “WINSOCK提供商”:顯示已注冊的WINSOCK協議,包括WINSOCK服務商。由于目前只有很少的工具能夠移除該項目下的內容,惡意軟件經常偽裝成WINSOCK服務商實現自我安裝。AUTORUNS可以卸載此項目下的內容,但不能禁用他們。 “打印監視器”:顯示在PRINT SPOOLER服務中被加載的DLL文件。一些惡意軟件可能利用此服務項目實現開機自啟動。 “LSA提供商”:LSA的全稱為“Local Security Authority”——本地安全授權,Windows系統中一個相當重要的服務,所有安全認證相關的處理都要通過這個服務。它從Winlogon.exe中獲取用戶的賬號和密碼,然后經過密鑰機制處理,并和存儲在賬號數據庫中的密鑰進行對比,如果對比的結果匹配,LSA就認為用戶的身份有效,允許用戶登錄計算機。如果對比的結果不匹配,LSA就認為用戶的身份無效。這時用戶就無法登錄計算機. |
|
|
短信
