管理Windows启动项的必备工具:Autoruns下载使用教程

在下面的截图中，您可以看到 VMware Tools 被禁用的示例，在这里 Autoruns 将Start值更改为4（已禁用），并将原始值2存储在其自己的AutorunsDisabled值中。

通过注册表标记实现禁用启动项

了解 Autoruns 常用选项卡

首先让我们明确一点——使用 Autoruns 并不需要了解每个选项卡作用。前面我们已经提到过，默认情况下，该工具在「Everything」选项卡中打开，其中包括从不同选项卡汇总的所有启动项。您可以轻松地在此列表中管理任何启动项。

但是，如果您只想关注特定类别启动项，就需要更多地了解选项卡：

• Logon 是 Autoruns 中最重要的选项卡，几乎所有第三方应用程序都在此选项卡中显示。「Logon」选项卡从 Windows 的各个位置获取信息，从「开始」菜单到「注册表键」，提供了最全面的启动项记录。

Logon 选项卡

• Explorer 正如其名称所示，此选项卡仅记录与 Windows 文件资源管理器相关的扩展/插件。它们对 Windows 启动影响通常很小，但您仍然可以查看或删除任何无用的条目。

Explorer 选项卡

• Scheduled Tasks 也是需要重点关注和分析的选项卡。计划任务包括预设进程，会按照触发条件在特定时间激活，也是隐藏恶意软件用到的流行方法。

Scheduled Tasks 选项卡

• Services 是一个有些棘手的选项卡。它包括运行重要应用程序所必需的经过验证的服务，以及只会拖慢计算机速度的垃圾进程。请浏览此列表中所有未经验证的条目，并删除您不需要的服务。

Services 选项卡

推荐阅读：在 Windows 系统中删除「服务」的 4 种方法

• Drivers 大多数情况下用不到这个选项卡。伪装成驱动程序的病毒相对少见，应由您的防病毒软件来处理。

Drivers 选项卡

• Codecs 是另一个难以判断的选项卡。此列表中的条目通常对应于媒体播放所必需的音频和视频编解码器。删除正常的编解码器可能会导致媒体播放问题，因此建议不要轻易更改此选项卡。
• Boot Execute 这个选项卡可以安全地忽略。它包括系统在引导过程中运行的进程，例如硬盘扫描等。您可能会发现此选项卡为空，因为即使病毒也难以在操作系统加载之前做太多事情。

一些比较棘手的 bootkit 除外，例如 BlackLotus。

• Image Hijacks 这个名字看起来就有点邪恶，但的确名副其实。Image Hijacks 是一个注册表键，允许一个进程「劫持」另一个可执行文件，代替其运行。除调试工具外，可以删除其它条目。

Image Hijacks 选项卡

• AppInit 最初是可以一次性加载多个系统 DLL 的便捷方式。然而，随着时间的推移，它成为恶意软件的主要目标，因为它们可以在每个运行时加载 User32.dll 的应用程序中注入自己的进程。虽然较新版本的 Windows 在某种程度上削弱了 AppInit 的脆弱性，但它仍然是一个容易被误用的功能。除非您有意使用此注册表键，否则最好删除此选项卡中的所有条目。

上面提到的都是比较最常用的选项卡。还有其他选项卡，如：Known DLLs、WinLogon、Winsock Providers、Print Monitors、LSA Providers、Network Providers、WMI 和 Office 等。

大多数情况下，这些选项卡很少使用，并且可能没有任何条目（空白）。这些选项卡中的任何程序都可能是附加组件或低级别进程。

使用 Autoruns 离线分析

Autoruns 另一个很酷的功能是可以查看离线 Windows 实例的 ASEP。在 Windows 无法启动或已经被恶意软件感染的情况下，这个功能非常有用：

• 如果 Windows 无法启动，离线分析可以识别和删除有问题或配置不正确的 ASEP。
• 恶意软件，特别是 rootkit，可能会阻止 Autoruns 准确识别 ASEP。通过将 Windows 脱机并从正常 Windows 实例中查看其 ASEP，这些条目将不会被隐藏。
• 系统上的恶意文件可能看起来由可信的发布者签名，而根证书实际上也可能来自攻击者。已知的正常系统未安装虚假证书，因此会对这些文件的签名验证失败。

要执行离线分析，Autoruns 必须以管理员权限运行，并且必须访问离线实例的文件系统。

从「File」菜单中选择「Analyze Offline System…」识别目标的 Windows「System Root」系统根目录和「User profile」用户的配置文件目录。Autoruns 会扫描该实例的目录和注册表文件以获取 ASEP。

使用 Autoruns 进行离线实例分析

离线 Windows 实例的注册表文件不能在只读介质上。

保存和对比启动项

Autoruns 允许您以制表符分隔文本和二进制(ARN)格式导出结果：

• 制表符分隔文本 是一种可读性强的文件，并且可以导入 Excel 表格。
• 二进制(ARN)格式 允许比较由不同 Windows 系统导出的结果。

要导出 Autoruns 条目记录，请从「File」菜单中选择「Save…」或者直接使用Ctrl + S快捷键导出——在「保存类型」下拉列表中选择一种需要的格式。

导出 Autoruns 条目

要比较相同或不同系统中的结果，请从「File」菜单中选择「Compare…」

对 Autoruns 导出的结果进行对比

Autoruns 仅显示差异项。绿色条目仅存在于原始结果集中，而粉色条目仅存在于比较结果集中。

SysInternals 出品，必属精品。Autoruns 提供了一个易于使用的界面，以简化 Windows 启动项管理。

本文已经差不多介绍了 Autoruns 的常用功能。实际上这些功能只是帮助大家入门的开胃菜，相信大家熟练掌握后会有更多高级的玩法。

最新评论