基本信息
軟體類型:國外軟體
軟體授權:免費軟體
更新時間:2018-02-13
套用平台:Windows XP 及更高版本、Windows Server 2003 及更高版本
功能
AutoRuns是一款出色的啟動
項目管理工具,首先我們來談一下它的作用:AutoRuns的作用就是檢查開機自動載入的所有程式,例如硬體
驅動程式,windows核心啟動程式和應用程式。它比windows自帶的
msconfig.exe還要強大,通過它我們還可以看到一些在msconfig裡面無法查看到的病毒和木馬以及惡意
外掛程式程式,還能夠詳細的把啟動項目載入的所有程式列出來。比如logon、
explorer還有IE上載入的dll跟其它組件。
壓縮檔內包含4個檔案:autoruns.exe、autorunsc.exe、autoruns.chm、Eula.txt
AutoRuns.exe
“全部”--顧名思義,全部的開機自啟動項都在這個標籤下啦。另外,它也是雙擊autoruns.exe彈出視窗預設定位的標籤,包括其他標籤的所有內容。
“登入”--細心的朋友可以發現,該標籤下HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run這兩個註冊表子項的內容與系統配置實用程式“啟動”標籤下打勾的項目是完全一樣的,甚至“登入”的圖示也和系統配置實用程式MSCONFIG.EXE的圖示完全相同,呵呵!當然,除了以上項目外,該標籤還包括HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell這三個自啟動子項的內容,這些是用系統配置實用程式“啟動”標籤看不到的內容。
“英特網瀏覽器”:對應的是IE所有瀏覽器幫助對象(BHO)、網路URL地址搜尋鉤子、各類IE
工具條以及IE常用
工具列按鈕所對應的註冊表子項和註冊表值項值。
“計畫任務”:和“開始”--“程式”--“附屬檔案”--“
系統信息”--“
任務計畫”中的內容是完全一致的,一般為空。
“服務”:即HKLM\System\CurrentControlSet\Services對應的開機自啟動服務的項目。由於具備開機自啟動功能,而且依靠
ROOTKIT技術可以隱蔽運行,所以是病毒(
流氓軟體)最愛光臨的地方。
“驅動”:即HKLM\System\CurrentControlSet\Services對應的開機自啟動
驅動程式的項目。同上,又一個病毒經常光臨的樂園。
“啟動執行”:在系統登入前啟動的本地映像檔案(即WINDOWS映像檔案的名稱)及自啟動項的情況。形象地理解一下,就是貌似
瑞星的系統登入前掃描這樣的自啟動項。
“
映像劫持”:在此標籤下的內容對應的應用程式,開機後即被系統強制劫持而不能運行(就是我們經常說的IFEO,即系統自帶的應用程式映像劫持功能)。
“APPINIT”:初始化動態程式庫,其內容是開機時系統載入的必要的初始化
動態程式庫檔案。除了
卡巴斯基等少數軟體需要通過添加DLL檔案到此處實現從開機就接管系統底層的目的外,一般此項目應為空。
“KNOWNDLLS”:系統中已知的DLL檔案。
“WINLOGON”:WINLOGON登入項對應的自啟動註冊表子項及
值項。
“WINSOCK提供商”:顯示已註冊的WINSOCK協定,包括WINSOCK服務商。由於目前只有很少的工具能夠移除該項目下的內容,
惡意軟體經常偽裝成WINSOCK服務商實現自我安裝。AUTORUNS可以
卸載此項目下的內容,但不能禁用他們。
“列印監視器”:顯示在PRINT SPOOLER服務中被載入的DLL檔案。一些惡意軟體可能利用此服務項目實現開機自啟動。
“LSA提供商”:LSA的全稱為“Local Security Authority”——本地安全授權,Windows系統中一個相當重要的服務,所有安全認證相關的處理都要通過這個服務。它從Winlogon.exe中獲取用戶的賬號和密碼,然後經過
密鑰機制處理,並和存儲在賬號資料庫中的密鑰進行對比,如果對比的結果匹配,LSA就認為用戶的身份有效,允許用戶登錄計算機。如果對比的結果不匹配,LSA就認為用戶的身份無效。這時用戶就無法登錄計算機。
Autorunsc.exe
Autorunsc是 Autoruns.exe的命令行版本。
用法:autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z <systemroot> <userprofile>] | [user]]]
-a | 顯示所有條目。 |
-b | 引導執行。 |
-c | 以 CSV 格式列印輸出。 |
-d | Appinit DLL。 |
-e | 資源管理器載入項。 |
-g | 邊欄小工具(Vista和更高版本)。 |
-h | 映像劫持。 |
-i | Internet Explorer 載入項。 |
-l | 登錄啟動(這是默認值)。 |
-m | 隱藏已簽名的 Microsoft 項。 |
-n | Winsock 協定提供程式。 |
- p | 印表機監視器驅動程式。 |
-r | LSA 提供程式。 |
-s | 自動啟動服務和非禁用的驅動程式。 |
-t | 計畫執行的任務。 |
-v | 驗證數字簽名。 |
-w | Winlogon 條目。 |
-x | 以 XML格式列印輸出。 |
-z | 指定脫機Windows系統掃描。 |
user | 為指定用戶帳戶轉儲自動運行程式。 |
AutoRuns.chm和Eula.txt
autoruns.chm是autoruns的說明文檔。(英文)
Eula.txt是Sysinternals的軟體許可條款,(英文)使用前請仔細閱讀。
注意
為此名字的檔案也有可能是病毒。(建議從可信網站上下載)