Autoruns詳盡使用教程

首先看看這個軟件包是什么DD： 

  圖1 

  圖2 

  圖3 

  圖4 

  圖5

  圖6

  下面簡單介紹一下各標簽的含義：

 

  “全部”--顧名思義，全部的開機自啟動項都在這個標簽下啦。另外，它也是雙擊autoruns.exe彈出窗口缺省定位的標簽，包括其他標簽的所有內容。

 

  “登陸”- -細心的朋友可以發現，該標簽下HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKCU\
  Software\Microsoft\Windows\CurrentVersion\Run這兩個注冊表子項的內容與系統配置實用程序“啟動”標簽下打勾的項目是完全一樣的，甚至“登陸”的圖標也和系統配置實用程序MSCONFIG.EXE的圖標完全相同，呵呵！當然，除了以上項目外，該標簽還包括
  HKLM\System\CurrentControlSet\Control\Terminal
  Server\Wds\rdpwd\StartupPrograms、HKLM\SOFTWARE\Microsoft\Windows
  NT\CurrentVersion\Winlogon\Userinit、HKLM\SOFTWARE\Microsoft\Windows
  NT\CurrentVersion\Winlogon\Shell這三個自啟動子項的內容，這些是用系統配置實用程序“啟動”標簽看不到的內容。

  
“資源管理器”：對應資源管理器在注冊表上的子項和值項。

  
“英特網瀏覽器”：對應的是IE所有瀏覽器幫助對象（BHO）、網絡URL地址搜索鉤子、各類IE工具條以及IE常用工具欄按鈕所對應的注冊表子項和注冊表值項值。

  
“計劃任務”：和“開始”--“程序”--“附件”--“系統信息”--“任務計劃”中的內容是完全一致的，一般為空。

  
“服務”：即HKLM\System\CurrentControlSet\Services對應的開機自啟動服務的項目。由于具備開機自啟動功能，而且依靠ROOTKIT技術可以隱蔽運行，所以是病毒（流氓軟件）最愛光臨的地方。

  
“驅動”：即HKLM\System\CurrentControlSet\Services對應的開機自啟動驅動程序的項目。同上，又一個病毒經常光臨的樂園。

  
“啟動執行”：在系統登陸前啟動的本地映像文件（即WINDOWS映像文件的對稱）及自啟動項的情況。形象地理解一下，就是貌似瑞星的系統登陸前掃描這樣的自啟動項。

  
“映像劫持”：在此標簽下的內容對應的應用程序，開機后即被系統強制劫持而不能運行（就是我們經常說的IFEO，即系統自帶的應用程序映像劫持功能）。

  
“APPINIT”：初始化動態鏈接庫，其內容是開機時系統加載的必要的初始化動態鏈接庫文件。除了卡巴斯基等少數軟件需要通過添加DLL文件到此處實現從開機就接管系統底層的目的外，一般此項目應為空。

  
“KNOWNDLLS”：系統中已知的DLL文件。

  
“WINLOGON”：WINLOGON登陸項對應的自啟動注冊表子項及值項。

  
“WINSOCK提供商”：顯示已注冊的WINSOCK協議，包括WINSOCK服務商。由于目前只有很少的工具能夠移除該項目下的內容，惡意軟件經常偽裝成WINSOCK服務商實現自我安裝。AUTORUNS可以卸載此項目下的內容，但不能禁用他們。

  
“打印監視器”：顯示在PRINT SPOOLER服務中被加載的DLL文件。一些惡意軟件可能利用此服務項目實現開機自啟動。

  
“LSA提供商”： LSA的全稱為“Local Security
  Authority”——本地安全授權，Windows系統中一個相當重要的服務，所有安全認證相關的處理都要通過這個服務。它從
  Winlogon.exe中獲取用戶的賬號和密碼，然后經過密鑰機制處理，并和存儲在賬號數據庫中的密鑰進行對比，如果對比的結果匹配，LSA就認為用戶的身份有效，允許用戶登錄計算機。如果對比的結果不匹配，LSA就認為用戶的身份無效。這時用戶就無法登錄計算機。

  
下面該進入正題了。之前，我們需要一一了解該軟件窗口下菜單欄的用法，講解菜單功能之前，先統一一下思想：本軟件窗口項目列表中灰色的部分，我這里叫自啟動子項（不能也不允許你刪除，不能使用“驗證”、“屬性”菜單功能，想想這應該是當然的羅），白色的部分，我稱之為自啟動值項，記住了！
  

一、主要功能菜單的介紹：
（一）“文件”
該菜單項目的下拉菜單項目包括：

1、“查找”：可以用來查找和定位包含輸入字段的所有自啟動子項和值項。比較實用的功能。

2、 “比較”：用于比較當前狀態和以前保存過的日志的差異并設置標記。如果選擇這個菜單項目，則彈出一個對話框要求你選擇一個你保存過的以前的日志，選定所需要的日志后，點“打開”，如果選定的日志的自啟動子項、自啟動值項與當前的狀態有差異，AUTORUNS將以綠色突出顯示，表示前后的自啟動項存在不符。超有用的功能（后面有介紹）。

3、“保存”、“另存為”：保存日志用的，這里就不多講了。

4、“刷新”：…………過。

5、“退出”：…………。

圖7

（二）“項目”（其下拉菜單和在項目條上點右鍵彈出的快捷菜單內容、功能完全相同）
該菜單項目的下拉菜單項目包括：

1、“刪除”：如果選定了一個自啟動值項，該菜單項即可用，可以用來刪除所選擇的啟動項目（可惜不能一次刪除多個項目，當然，也不能刪除開機自啟動項目注冊表子項）；

2、“復制”：可以復制所選擇自啟動子項和自啟動值項，可用“粘貼”將啟動子項和自啟動值項的內容復制到其他需要用的地方。

3、“驗證”：選擇這個菜單項后，軟件將自動對列表中所選自啟動值項進行數字簽名驗證，可以通過它發現病毒和流氓軟件的破綻。

4、“跳轉到”：選擇這個菜單項后，將自動定位到所選自啟動子項和自啟動值項在注冊表的相應位置，比較實用的功能，多用來對有問題但不能刪除的自啟動值項進行編輯，以修改被病毒強行修改的一些系統核心的自啟動值項的注冊表值項值。

5、“GOOGLE/MSN”：選定某個自啟動子項和自啟動值項后，選擇這個菜單項目將以被選擇內容為字段在GOOGLE/MSN上進行搜索。

6、“進程瀏覽器”：這玩意我用不了，提示有錯誤，無奈先過了。

7、“屬性”：可以快速顯示自啟動值項對應文件的屬性，十分方便的功能，一些時候可以通過查找文件屬性相關數據判斷該文件是否正常（如創建時間等數據）。

圖8

1、“包括空白啟動位置”：如果AUTORUNS找不到自啟動值項的啟動位置，該值項將以空白顯示。也就是說，如果AUTORUN找不到映像文件對應的自啟動項目，選擇這個菜單將顯示這個AUTORUNS不能識別的自啟動項（雖然自啟動項目的名稱和說明可能都是空的）。勾選或取消勾選后要用“刷新”才有效。

2、“驗證代碼簽名”：一個很實用的功能，是用來指驗證所有自啟動值項的文件簽名（Windows下的硬件有一個簽名的功能，它是為了保證所有的驅動文件是經過MICROSOFT CORPORATION測試，符合HAL兼容性），如果核對通過，則可基本排除自啟動值項是惡意軟件的啟動項目。勾選后要用“刷新”才有效。

3、“隱藏微軟項目”：同樣是一個很實用的功能，可以隱藏微軟認證的項目，因為微軟認證的項目不再顯示，可供懷疑的自啟動子項、自啟動值項大幅度減少，使發現不正常的自啟動值項的難度和工作量降低。勾選后要用“刷新”才有效。

4、“字體”：前面都用過了…………直接過。

5、“搜索引擎”：有GOOGLE和MSN兩個子菜單項，選擇其中一個后，被選擇的就被作為AUTORUNS的默認搜索引擎，并直接在“項目”下拉菜單或在自啟動子項、自啟動值項點右鍵彈出菜單的第五項反映出來。

（四）“用戶”

該菜單項目的下拉菜單項目（根據操作系統的不同、用戶帳戶的不同，顯示的菜單項目的名稱和個數也不同，我的是WINXPSP2操作系統，一個管理員帳戶）包括：

“操作系統版本-用戶帳戶名”和“操作系統版本-超級管理員用戶帳戶名”。有多少用戶帳戶就有多少個菜單項目（沒有試驗，不知道有興趣的朋友不妨試下）。比如該菜單項的下拉菜單，在我機只有“WINXPSP2-***”和“WINXPSP2-ADMINISTRATOR”兩個子項目。用鼠標左鍵勾選擇不同項目可以實時切換不同帳戶下自啟動子項和自啟動值項（哪個菜單項前打勾，就表示當前顯示的是哪個帳戶的自啟動子項目和自啟動值項）。

（五）“幫助”：直接略過。

二、常用工具欄的介紹

在菜單欄下面，有一排按鈕組成的常用工具欄，根據下圖的標記的順序，簡單介紹一下：

圖11

1號按鈕：“保存”按鈕（等同于菜單欄的“文件”--“保存”功能）

2號按鈕：“刷新”按鈕（等同于菜單欄的“文件”--“刷新”功能）

3號按鈕：“查找”按鈕（等同于菜單欄的“文件”--“查找”功能）

4號按鈕：“屬性”按鈕（等同于菜單欄的“項目”--“屬性”功能）

5號按鈕：“刪除”按鈕（等同于菜單欄的“項目”--“刪除”功能）

6號按鈕：“跳轉”按鈕（等同于菜單欄的“項目”--“跳轉到”功能）

圖10

三、特色功能

（一）比起注冊表編輯器龐大的數據庫來說，AUTORUNS顯得更加專業--只管理開機自啟動項，別的不管，使用起來更簡便和有針對性。這也是AUTORUNS軟件的最大特色。

（二）利用“文件”--“比較”功能，可輕易找出當前系統自啟動項比以前保存日志時系統增加的自啟動子項和自啟動值項，使檢驗添加自啟動項的正常與否變得更加方便。

（三）“驗證代碼簽名”、“隱藏微軟項目”這兩個功能，使得判斷某個自啟動子項和自啟動值項是否是惡意軟件更加簡單，否則項目太多（一般有200多個），會看著發暈的。

（四）用“跳轉到”菜單項目建立了與注冊表之間的快速切換，特別適合用來調用注冊表編輯器來編輯一些被惡意軟件強行插入病毒模塊字段的注冊表值項值。

（五） “屬性”菜單項目可以直接在自啟動項目上用右鍵調出，也可以在選擇該項目后用“項目”--“屬性”調出，直接定位并顯示自啟動項指向映像文件的“屬性”，由此可以方便地利用文件的創建時間、大小、版本號等要素判斷映像文件（自啟動項）是否正常，應該是很方便也很有特色的一個功能！

四、實戰案例

案例一、刪除有問題的驅動保護

如通過SRENG掃描日志發現有個不明驅動項目USBVM31B.SYS在機中活動！（這里僅僅是在舉例，實際上這個服務項目是攝像頭驅動，而且為了說明問題我對該映像文件的“屬性”做了修改，實際該文件并非病毒驅動文件，不可照搬使用哦！）

怎么辦？按照下列步驟，你會發現，原來查殺病毒驅動保護也不復雜：

1、雙擊autoruns.exe，進入AUTORUNS窗口， 

圖12 

圖13

圖14 

圖15

如上圖，發現USBVM31B.SYS這個DD有驅動保護，且驅動保護項目為ZSMC301B

圖16

圖17

圖18

圖19

圖20

8、為了徹底不留后患，按照AUTORUNS提供的信息找到該映像文件（刪除ZSMC301B這個自啟動項前可以在其項目條上右鍵，選擇“復制”，將復制內容粘貼到寫字板或記事本中，以便刪除映像文件時查找該文件的路徑和文件名），刪除c:\windows\system32\drivers\USBVM31B.SYS這個文件。

圖21

案例二、通過“比較”檢驗自己當前的自啟動項是否有問題。

如果以前在機器正常時保存了AUTORUNS的日志，而當前感覺機器明顯有問題，可以通過以下辦法簡單確認惡意軟件可能添加的自啟動項： 

1、雙擊打開autoruns.exe，進入AUTORUNS窗口，依次點“文件”--“比較”； 

  圖22 

2、在彈出的對話框中選定前面保存的日志后，點“打開”； 

  圖23 

3、這時AUTORUNS將會對當前自啟動項同打開日志的自啟動項進行比較，對當前自啟動項如果比老日志多或者少，整個列表的項目將以綠色突出顯示！ 

  圖24 

4、接下來，可以再保存一份新日志，與老日志比對，尋找有差異的自啟動項。如果新日志比老日志啟動項目多，則先確認多的啟動項目是否是惡意自啟動項，可以按照案例一第2到第6步的辦法檢測，如果確認多出的自啟動項是不正常的，參照案例一第7-8步的辦法清理。 

案例三、利用“跳轉到……”這個AUTORUNS和注冊表編輯器快速鏈接方式，修復被病毒修改且不能刪除自啟動值項值。 

我們知道HKLM\SOFTWARE\Microsoft\Windows
  NT\CurrentVersion\Winlogon\Userinit這個自啟動項是不能刪除的，否則系統無法登陸，其注冊表值項值正常情況下“c:
  \windows\system32\userinit.exe ，”（注意逗號是必須有的！），當病毒或者惡意軟件入侵后，可能造成該注冊表值項值被改成“c:\windows\system32\
  userinit.exe ，ABC.EXE”，這個多出的ABC.EXE就是病毒（流氓軟件）插入的病毒隨系統登陸自啟動的病毒進程。在AUTORUNS中是不允許修改自啟動項值的，怎么辦？別著急，AUTORUNS已經想到這點啦，按照下面的辦法就可以搞定了： 

1、雙擊打開autoruns.exe，進入AUTORUNS窗口，； 

2、“選項”--勾選“隱藏微軟項目”--按菜單欄下常用工具欄的“刷新”按鈕，排除不必要的正常自啟動項目； 

3、“文件”--“查找”--輸入“c:\windows\system32\userinit.exe”--回車，讓AUTORUNS自動查找包括“c:\windows\system32\userinit.exe”字段的自啟動值項并定位； 

  圖25 

4、右鍵點擊此自啟動值項，選擇“跳轉到…………”，發現彈出注冊表編輯器的窗口，表示AUTORUNS已經鏈接到注冊表編輯器。在注冊表編輯器中對應的注冊表值項值中，發現病毒（流氓軟件）已經入侵該自啟動項目，并釋放了一個ABC.EXE隨userinit.exe一同自啟動： 

  圖26 

5、用注冊表編輯器修改[HKLM\SOFTWARE\Microsoft\
  Windows NT\CurrentVersion\Winlogon\Userinit]這個值項的值，由被病毒修改后的“c:\windows\system32\ userinit.exe ，ABC.EXE”改為正常的“c:\windows\system32\userinit.exe，”（修改注冊表值項值的操作這里就不羅嗦了） 

  圖27 

7、手工刪除c:\windows\system32\ABC.EXE這個病毒進程文件，清除結束。 

小知識：有些自啟動值項值是不能刪除的，除了以上說的[HKLM\SOFTWARE\Microsoft\Windows
  NT\CurrentVersion\Winlogon\Userinit]的“c:\windows\system32\userinit.exe，” 外，還有以下幾個常用的自啟動子項也屬于這種情況： 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  NT\CurrentVersion\Windows\appinit_dlls,其正常值項值一般為空（安裝卡巴斯基殺軟的除外）； 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  NT\CurrentVersion\Winlogon\UIHost,其正常值項值應為“logonui.exe”。 

總結：

  1、總體來說autoruns是一款功能強大的軟件，特別是對自啟動項添加前后的比較功能，是其最大的亮點，對于那些機器突然從正常轉為不正常的同志來說，將大大縮小了你的查找范圍。 

此外，按照登陸啟動方式的不同分類表示，也便于使用者縮小范圍，提高效率。當然，
  autoruns8.53的不足之處也是很明顯的，主要是對不能刪除的核心自啟動項的保護不足，一旦誤操作將造成嚴重后果，比如刪除了[HKLM\
  SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]自啟動項后，將直接造成開機反復注銷帳戶，連安全模式都進入不了，只能采取重裝系統或用第三方軟件（如ERD2003）來修復（這點上，瑞星卡卡貌似也差不多），因此，新手使用時請一定要慎重；還有，日志比較的功能不太人性化，當前自啟動項和日志自啟動項的差異不能準確定位，只能讓使用者知道現在的自啟動項與以前有變化，但不知道變化在哪里，還要通過再保存日志與老日志手工比較，有點麻煩；另外，隨著SRENG等老牌系統掃描工具功能的加強，AUTORUNS的優勢越來越不明顯，最新版本AUTORUNS8.61還居然搞成了安裝版…………。 

不管怎么樣，對于常在病毒身邊走的我們，有一些好的系統掃描和檢查工具是必要的，autoruns8.53雖然功能有一定局限性，但簡單易學，也許能如你所愿。