VPS    微软    Win10    云市场    苹果    Office2016

怎样查看偷偷自启动的程序?Autoruns启动项管理器帮你忙!

 优化辅助   2007-03-29

怎样查看偷偷自启动的程序?Autoruns启动项管理器帮你忙!  这是Sysinternals公司出品的一个Windows启动项的管理程序,Autoruns可以将所有启动时自动运行的程序全部列出来,包括启动文件夹和注册表中各个启动项。

它还能列出Windows资源管理器和IE启动时加载的插件以及操作系统自动加载的服务。如图1,你几乎可以在它的界面上看到所有的自启动程序,包括流氓软件、驱动程序均能一一列出。www.x-force.cn这样就能对自己的系统了如指掌了~

如果怀疑有木马或病毒或者系统启动太慢,就用它来看看吧!把他们给都揪出来!此新版中,增加了查找和比较功能,以及其它一些改进。

图1:
怎样查看偷偷自启动的程序?Autoruns启动项管理器帮你忙!

第一次运行时,显示的字体看不清,请到菜单“选项”--“字体”中设置字体为“宋体”9号,以后就没问题了。如图2

怎样查看偷偷自启动的程序?Autoruns启动项管理器帮你忙!

转载一篇关于Autoruns的文章吧:

釜底抽薪:用autoruns揪出流氓软件的驱动保护
作者:网络安全日志( www.nslog.cn )
日期:2006/10/01

一、为什么流氓软件总是删不掉?

经常有网友发贴子说文件删除不掉,或者流氓软件清除不了,或者删除了相关的文件,但是马上它又出现了。现在流氓软件为了保护自己,采取的手段是五花八门,无所不用其极:进程保护,交叉感染,自启动,自我恢复,文件隐藏,进程注入,驱动保护。在我的上一篇文章中《[惊天大发现]顽固文件删除终极武器》已经告诉大家如何清除顽固的文件。只要我们判断哪些文件是流氓软件的,然后把它清除掉,这个流氓软件也就清除了。

到目前为止,所有流氓软件最终极、最有效的保护办法还是底层驱动级的保护,一般就是在drivers目录下增加一个或多个.sys文件(我也见过一个用rundll32来运行一个.dll作为驱动的),但本质上这个都会在Windows的HKLM\SYSTEM\CurrentControlSet\Services\下建一个相关的值,如CNNIC建立的就是HKLM\SYSTEM\CurrentControlSet\Services\cdnprot,并且将启动级别做得很高,在安全模式下也会自动启动。这个底层的驱动过滤所有的文件以及注册表操作,如果发现是对流氓软件自己的文件/注册表操作,就会直接返回一个true,如果发觉文件被删除,就会通过备份或者网络来下载恢复。它们的保护措施已经做到这一级,普通用户根本没有办法删除相关的文件,一般都需要重启到DOS系统下去删除文件。

这也是很多网友提的为什么文件删除不掉,或者删除了,重启之后,一会儿又出现了,阴魂不散的原因。下面我们的要做的,就是找出来这些流氓软件的后台的驱动保护。

二、为什么找出驱动保护很困难?

Windows的驱动文件一般位于system32\drivers目录下,以.sys文件方式存在,通过注册表的HKLM\SYSTEM\CurrentControlSet\Services\的方式来启动,有一部分属于服务的,可以在Windows的服务的MMC控制窗口里看到。但如果是驱动,则在这里看不到。Windows正式情况下,那个drivers目录下有200个左右的文件,如果偷偷往这个下面塞一个.sys文件,www.x-force.cn是很难发现的。象著名的3721这类cnsminkp.sys,CNNIC的cdnprot.sys比较容易认识,但现在的很多软件的名字都是不固定的,或者是随机生成的,这样的辨识的难度就很大。我曾经用过的方式有:

1、通过保存文件列表,时常自己手工比较这两个文件,看前后差别多出来的文件肯定有问题

2、通过文件生成的日期。(这点流氓软件也想到了,日期也只能作为参考)

3、通过文件的属性里在的公司信息。早年还行,现在越来越多的流氓软件的驱动冒充是M$的,有的连英文单词都写错了。唉。。。

4、通过文件夹监视工具。

上面这四种都有一定的缺陷,只能作为参考,都不是太好。并且现在有一些软件通过文件系统隐藏,这些驱动文件,通过资源管理器,根本连看都看不到。

三、如何找出可疑驱动来?

难道没有更好的办法吗?有,应该有的,这个就是我们今天要介绍的主角:autoruns
介绍:autoruns是著名的sysinternals出品的一款小软件,它的主要功能是列出系统自启动的项目。通过它,你可以轻易查看到所有系统可能启动的地方,非常的全面。跟流氓软件相关的是“Services(服务)",“LSA Providers(LSA提供者)”、"Winsock Providers(Winsock提供者)",“Drivers(驱动)“。下面重点介绍Drivers这一部分的功能。

运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。验证代码签名是指验证所有dirvers下的.sys文件的文件签名。Windows下的硬件有一个签名的功能,它是为了保证所有的驱动文件是经过M$测试,符合HAL兼容性。隐藏已签名的微软项,就是把那些合法的隐藏起来。不然200多个,会看着发晕的。

这样autoruns就会检查所有已经注册成为驱动的项,并且检查所有的.sys的文件数字签名。所有假冒的或者没有通过代码签名的项,都会在这里列出来。也就可以很容易判断这个驱动是不是有问题了。如果有问题的话,可能通过冰刀(请参见《清除流氓软件的第一利器(IceSword)》文件把里面相关的注册表键值删除,重启机器,这样驱动保护就失效了,然后可以通过文件删除工具来删除其它的文件,完成最后的清理工作。

四、总结
最后再总结一下:
1、流氓软件删除不掉或者死灰复燃,很多时候是因为有驱动或服务保护
2、通过autoruns找到这些可疑的驱动
3、通过冰刀删除相关驱动健值或者直接用文件粉碎器删除相关的.sys文件,重启驱动就无效
4、清理其它文件,完成善后工作。

以上方法通过各种测试是证明有效的,但不排除将来有更进一步的隐藏手段来躲避autoruns的检查。但原理是一样的。不过是通过程序来减少工作量。

相关文件下载地址:

下载 Windows Sysinternals 工具集 (其中包含AutoRuns)  |  来自异次元

各位正在潜水的同学请注意,有 21 位无聊人士 在异次元附近海域出没!
  • [Yoci-50],,刚好派上用场,下载下来研究下~~~

    9 10
     
  • 正要用这个软件呢。。。。。

    8 10
     
  • 每次总能看到有趣的东东哈~~~支持哈

    8 10
     
  • 朋友。你能不能把你文章里提到的相关文章做成链接的形式呢。比如。我想了解“惊天大发现]顽固文件删除终极武器”和冰刀,用你的搜索都没有找到啊。能否提供呢。[Yoci-02]

    10 10
     
  • Oh~~那里打错了~~是 冰刃 ,英文名叫 IceSword。。。你搜索一下就有了

    10 10
     
  • 哈哈。回复的真是及时啊。谢谢你给我的纠正错字[Yoci-05]。今天我用了一下,点了验证验证代码签名,隐藏已签名的微软项。这2个,然后我刷新了一下。我的防火土啬提示我他要连接网络,不知道正常不。用不用让他联网。我怕连接后有木马什么的没敢连。[Yoci-06]是不是一样能起到作用。
    再次感谢异次元

    6 10
     
  • 应该不让他联网也起作用的~~

    7 10
     
  • [Yoci-02]终于找到组织了.

    7 10
     
  • 找到组织?什么组织?

    6 10
     
  • 这个软件的名字不好,我正在使用一款专杀U盘病毒的软件,凡是碰到autoruns的文件,通杀。

    9 10
     
  • 不是吧。。。这。。。是那个U盘杀毒软件的不好吧。。。哪有根据名字来杀这么离谱呀……

    8 10
     
  • 试试看

    6 10
     
  • X大侠的这篇文章是转载的吧,原文章偶尔看到的,就连“冰刃”打成“冰刀”都是一样的。而原文也早于你这篇。
    可能通过冰刀文件把里面相关的注册表键值删除,重启机器,这样驱动保护就失效了,然后可以通过文件删除工具来删除其它的文件,完成最后的清理工作。
    [ 本帖最后由 yongmin 于 2007-3-25 11:11 编辑 ]

    9 10
     
  • 能不能再提供一下?

    10 10
     
  • 非常好。

    8 10
     
  • 原来X-Force也是Acer机器呀

    10 10
     
  • 这个不错,下来看看~

    7 10
     
  • 链接失效咯~~~
    麻烦楼主更新一下~~~

    7 10
     
  • 找了好久了555555555555感谢LZ

    7 10
     
  • autoruns,小X,你得是中文的,为什么我下的是英文捏?

    8 10
     
  • 就因为使用这个软件,错误地删除了一些系统启动项导致无法启动系统,后来还原系统后又变得特别卡。。。最后只好重装系统。一定要慎重使用啊

    6 10
     





评论内容 (*必填):
Ctrl + Enter 快速提交