Hjemmeside » skole » Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware

    Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware

    De fleste geeks har verktøyet deres til å håndtere prosesser som starter automatisk, enten det er MS Config, CCleaner eller til og med Oppgavebehandling i Windows 8 - men ingen av dem er like kraftige som Autoruns, som også er vår Geek School-leksjon for i dag.

    SCHOOL NAVIGASJON
    1. Hva er SysInternals Tools og hvordan bruker du dem?
    2. Forstå Process Explorer
    3. Bruk Prosess Explorer til Feilsøking og diagnostisering
    4. Forstå prosessovervåking
    5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
    6. Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware
    7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
    8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
    9. Analysere og administrere filer, mapper og stasjoner
    10. Pakke opp og bruke verktøyene sammen

    I gamle dager ville programvaren starte automatisk ved å legge til en oppføring i oppstartsmappen i Start-menyen, eller legge til en verdi i Run-tasten i registeret, men da folk og programvare ble mer kunnskapsrike for å finne uønskede oppføringer og slette dem , begynte beslutningstakere av tvilsom programvare å finne måter å få mer og mer sneaky på.

    Disse skyggefulle crapware-selskapene begynte å finne ut hvordan de automatisk kan laste inn programvaren via nettleserhjelpobjekter, tjenester, drivere, planlagte oppgaver, og til og med gjennom ekstremt avanserte teknikker som image hijacks og AppInit_dlls.

    Å kontrollere hver av disse forholdene manuelt ville ikke bare være tidkrevende, men nesten umulig å gjøre for den gjennomsnittlige personen.

    Det er her Autoruns kommer inn og sparer dagen. Sikker på, kan du bruke Process Explorer til å se gjennom prosesslisten og dype dypt inn i tråder og håndtak, og Process Monitor kan finne ut nøyaktig hvilke registernøkler som åpnes ved hvilken prosess og viser deg utrolig mye informasjon. Men ingen av dem stopper crapware eller skadelig programvare fra å bli lastet igjen neste gang du starter datamaskinen.

    Selvfølgelig vil en smart strategi være å bruke alle tre sammen. Process Explorer ser hva som kjører og bruker opp CPU og minne, Process Monitor ser hva applikasjonen gjør under hetten, og deretter kommer Autoruns inn for å rydde opp ting slik at de ikke kommer tilbake.

    Autoruns lar deg se nesten alle ting som er lastet automatisk på datamaskinen din, og deaktivere det så enkelt som å klikke i avkrysningsruten. Det er utrolig enkelt å bruke, og nesten selvforklarende, bortsett fra noen av de veldig kompliserte tingene du trenger å vite for å forstå hva noen av kategoriene egentlig betyr. Det er det denne leksjonen skal lære.

    Arbeider med Autoruns-grensesnittet

    Du kan hente Autoruns-verktøyet fra SysInternals nettsted, akkurat som resten, og kjøre det uten å installere. Du vil gjøre det før du fortsetter.

    Merk: Autoruns krever ikke å kjøre som administrator, men realistisk er det mest fornuftig å bare gjøre det, siden det er noen få funksjoner som ikke fungerer så bra ellers, og det er en god sjanse for at skadelig programvare kjører som administrator også.

    Når du først starter grensesnittet, ser du massevis av faner og en liste over ting som startes automatisk på datamaskinen. Standardfanen Alt viser alt fra hver kategori, men det kan være litt forvirrende og lang, så vi anbefaler at du bare går gjennom hver enkelt kategori separat.

    Det er verdt å merke seg at Autoruns som standard gjemmer alt som er innebygd i Windows og satt til å starte automatisk. Du kan aktivere visning av disse elementene i alternativene, men vi vil ikke anbefale det.

    Deaktivering av elementer

    Hvis du vil deaktivere noe i listen, kan du bare fjerne avkrysningsboksen. Det er alt du trenger å gjøre, bare gå gjennom listen og fjern alt du ikke trenger, start datamaskinen på nytt, og kjør den igjen for å sikre at alt er bra.

    Merk: noe malware vil hele tiden overvåke stedene der de utløser autostart fra, og vil umiddelbart sette verdien tilbake. Du kan bruke F5-tasten til å søke på nytt og se om noen av oppføringene kom tilbake etter at de ble deaktivert. Hvis en av dem dukket opp igjen, bør du bruke Prosess Explorer til å suspendere eller drepe den skadelige programvaren før du deaktiverer den her.

    Fargene

    Som de fleste SysInternals-verktøy, kan elementene i listen være forskjellige farger, og her er hva de mener:

    • Rosa - Dette betyr at ingen utgiverinformasjon ble funnet, eller hvis kodeverifisering er på, betyr at den digitale signaturen heller ikke eksisterer eller ikke samsvarer, eller det er ingen utgiverinformasjon.
    • Grønn - Denne fargen brukes når du sammenligner med et tidligere sett med Autoruns-data for å indikere et element som ikke var der sist gang.
    • Gul - oppstartsposten er der, men filen eller jobben den peker på eksisterer ikke lenger.

    I likhet med de fleste SysInternals-verktøyene kan du også høyreklikke på en oppføring og utføre en rekke handlinger, inkludert å hoppe til oppføringen eller bildet (den faktiske filen i Explorer). Du kan søke på nettet etter navnet på prosessen eller dataene i kolonnen, se de detaljerte egenskapene, eller se om denne oppføringen kjører ved å gjøre et raskt søk gjennom Process Explorer - selv om mange prosesser har en laster som deretter lanserer noe annet før spennende, så bare fordi den funksjonen viser ingen resultater betyr ikke noe.

    Hvis du klikket Hopp til oppføring, blir du tatt rett over til Registerredigering, hvor du kan se den aktuelle registernøkkelen og se deg rundt. Hvis oppføringen var noe annet, kan du bli tatt til et annet verktøy, som oppgaveplanleggeren. Virkeligheten er at Autoruns for det meste viser all den samme informasjonen rett i grensesnittet, slik at du vanligvis ikke trenger å bry deg med mindre du vil lære mer.

    Brukermenyen lar deg analysere en annen brukerkonto, noe som kan være veldig nyttig hvis du har lastet opp Autoruns på en annen konto på samme datamaskin. Det er verdt å merke seg at du åpenbart trenger å kjøre som administrator for å se andre brukerkontoer på PCen.

    Verifiserende kodesignaturer

    Menyelementet Filtreringsalternativer tar deg til et valgpanel hvor du kan velge et veldig nyttig alternativ: Bekreft kodesignaturer. Dette kontrollerer at alle digitale signaturer analyseres og verifiseres, og viser resultatene rett i vinduet. Du vil legge merke til at alle elementene i rosa i skjermbildet under ikke er verifisert, eller at utgiverinformasjonen ikke eksisterer.

    Og for ekstra kreditt kan du legge merke til at dette skjermbildet nedenfor er nesten det samme som det som er nær begynnelsen, bortsett fra i den ene noen av elementene i listen der det ikke er merket som rosa. Forskjellen er at som standard uten at Verify Code Signatures-alternativet er slått på, vil Autoruns bare varsle deg med den rosa rad hvis ingen utgiverinformasjon finnes.

    Analyser et frakoblet system (som ved å koble til en harddisk til en annen PC)

    Tenk deg at din venns datamaskin er fullstendig ødelagt, og det vil heller ikke starte opp eller bare støvler så sakte at du ikke kan bruke den. Du har prøvd sikker modus og gjenopprettingsalternativer som Systemgjenoppretting, men det spiller ingen rolle fordi det er ubrukelig.

    I stedet for å trekke på "reinstall" -kortet, som ofte bare er "Jeg gir opp" -kortet, kan du koble ut harddisken og koble den til din PC eller laptop med den praktiske USB-harddiskdokken. Du har en, ikke sant? Da laster du bare opp Autoruns og går til File -> Analyser Offline System.

    Bla gjennom for å finne Windows-katalogen på den andre harddisken, og brukerprofilen til brukeren du prøver å diagnostisere, og klikk OK for å starte.

    Du trenger skriveadgang til stasjonen, selvfølgelig, fordi du vil lagre innstillingene for å fjerne det uanselige du ender med å finne.

    Sammenligning mot en annen PC (eller tidligere ren installasjon)

    Alternativet File -> Sammenlign synes ikke å skrive, men det kan være en av de mest effektive måtene å analysere en PC og se hva som er lagt til siden siste gang du skannet, eller å sammenligne med en kjent ren PC.

    For å bruke denne funksjonen, bare last opp Autoruns på PCen du prøver å inspisere, eller bruk Offline-modusen vi beskrev tidligere, og hodet til File -> Compare. Alt som er lagt til siden den sammenlignede filversjonen, vil dukke opp i lysegrønn. Det er så enkelt. For å lagre en ny versjon, vil du bruke alternativet Fil -> Lagre.

    Hvis du virkelig vil være en proff, kan du lagre en ren konfigurasjon fra en ny installasjon av Windows og sette den på en flash-stasjon for å ta med deg. Lagre en ny versjon hver gang du berører en PC for første gang, for å sikre at du raskt kan identifisere alle de nye crapwareene eieren har lagt til.

    Ser på fanene

    Som du har sett så langt, er Autoruns et veldig enkelt, men kraftig verktøy som sannsynligvis kunne brukes av nesten alle. Jeg mener, alt du trenger å gjøre er å fjerne merket av en boks, ikke sant? Det er imidlertid nyttig å ha litt mer informasjon om hva alle disse kategoriene betyr, så vi skal prøve og utdanne deg her.

    Neste side: Logon, Planlagte oppgaver og Image Hijacking