启动项管理工具Autoruns使用实验(20)

这篇具有很好参考价值的文章主要介绍了启动项管理工具Autoruns使用实验(20)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

实验目的
(1)了解注册表的相关知识;

(2)了解程序在开机过程中的自启动;

(3)掌握Autoruns在注册表和启动项方面的功能;

预备知识
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。

AutoRuns是一款启动项目管理工具,作用就是检查开机自动加载的所有程序,例如硬件驱动程序,windows核心启动程序和应用程序.它比windows自带的msconfig.exe还要强大,通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序.还能够详细的把启动项目加载的所有程序列出来。

实验环境
Autoruns 11.70 可运行在Windows XP 及更高版本、Windows Server 2003 及更高版本。

本实验的运行环境是win 7。

实验内容和步骤
任务描述:通过Autoruns实现对启动项的管理,查看不同类别的启动项

1. 启动程序

进入实验机桌面打开“启动项管理工具AutoRuns使用实验”文件夹,解压“实验工具Autoruns11.70.zip”。
启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft

双击“Autoruns.exe”,启动程序,进入程序主界面,默认显示的是“everything”选项卡下的内容,显示所有的开机自启动项,打钩代表当前设置开机启动,不打勾代表取消开机启动:
启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
“logon”选项卡:用户登录到系统时自启动的项目

“Explorer”选项卡:对应资源管理器在注册表上的子项和值项

“Internet Explorer”选项卡:对应的是IE所有浏览器帮助对象(BHO)、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。

“Scheduled Tasks”选项卡:和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的,一般为空。

“Services”选项卡:HKLM\System\CurrentControlSet\Services对应的开机自启动服务的项目。由于具备开机自启动功能,而且依靠ROOTKIT技术可以隐蔽运行,所以是病毒(流氓软件)最爱光临的地方。

“Drivers”选项卡:HKLM\System\CurrentControlSet\Services对应的开机自启动驱动程序的项目,病毒经常光临的乐园。

“Boot Execute”:在系统登陆前启动的本地映像文件(即WINDOWS映像文件的对称)及自启动项的情况。如瑞星在系统登陆前自动扫描这样的自启动项。

“Image Hijacks”选项卡:在此标签下的内容对应的应用程序,开机后即被系统强制劫持而不能运行(就是我们经常说的IFEO,即系统自带的应用程序映像劫持功能)。

“AppInit”选项卡:初始化动态链接库,其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外,一般此项目应为空。

“Known DLLs”选项卡:系统中已知的DLL文件。

“Winlogon”选项卡:登录系统时登陆项对应的自启动注册表子项及值项。

“Winsock Providers”选项卡:显示已注册的WINSOCK协议,包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容,恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容,但不能禁用他们。

“Print Monitors”选项卡:显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。

“LSA Providers”选项卡:LSA的全称为“Local Security Authority”——本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从 Winlogon.exe中获取用户的账号和密码,然后经过密钥机制处理,并和存储在账号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。

2.“File”下拉菜单
启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
“find”:查找和定位包含输入字段的所有自启动子项和值项。

“save”:保存当前的启动项到一个日志文件。

“compare”:用于比较当前状态和以前保存过的日志的差异并设置标记。如果选择这个菜单项目,则弹出一个对话框要求你选择一个你保存过的以前的日志,选定所需要的日志后,点“打开”,如果选定的日志的自启动子项、自启动值项与当前的状态有差异,Autoruns将以绿色突出显示,表示前后的自启动项存在不符,便于找出差异。如下图所示:

启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft

3.“Entry”下拉菜单

启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
“Delete”:如果选定了一个自启动值项,该菜单项即可用,可以用来删除所选择的启动项目(不能一次删除多个项目,也不能删除开机自启动项目注册表子项)

“Copy”:可以复制所选择自启动子项和自启动值项,可用“粘贴”将启动子项和自启动值项的内容复制到其他需要用的地方。

“Jump to Entry”:选择这个菜单项后,将自动定位到所选自启动子项和自启动值项在注册表的相应位置,多用来对有问题但不能删除的自启动值项进行编辑,以修改被病毒强行修改的一些系统核心的自启动值项的注册表值项值。

“Jump to Image”:跳转到启动项对应的文件所在目录。

“Search Online”:在网上搜索启动项对应的文件

“Process Explorer”:需要其他软件的支持,“Process Explorer”是另外一个小工具。

“Properties”:可以快速显示自启动值项对应文件的属性,十分方便的功能,一些时候可以通过查找文件属性相关数据判断该文件是否正常(如创建时间等数据)。

4.“option”选项下的“Font”主要是进行字体的设置
启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
5.“option”选项下的“Filter Options”
启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
“Include empty locations“:即包括空白启动位置,如果AUTORUNS找不到自启动值项的启动位置,该值项将以空白显示。也就是说,如果AUTORUN找不到映像文件对应的自启动项目,选择这个菜单将显示这个AUTORUNS不能识别的自启动项(虽然自启动项目的名称和说明可能都是空的)。勾选或取消勾选后要用“刷新”才有效。

“Show only per-user locations”:只显示一个用户下的信息。 “Verify code signatures”:个很实用的功能,是用来指验证所有自启动值项的文件签名(Windows下的硬件有一个签名的功能,它是为了保证所有的驱动文件是经过MICROSOFT CORPORATION测试,符合HAL兼容性),如果核对通过,则可基本排除自启动值项是恶意软件的启动项目。勾选后要用“刷新”才有效。

“Hide Microsoft entries”:可以隐藏微软认证的项目,因为微软认证的项目不再显示,可供怀疑的自启动子项、自启动值项大幅度减少,使发现不正常的自启动值项的难度和工作量降低。勾选后要用“刷新”才有效。

6.“User”

启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
该菜单项目的下拉菜单项目(根据操作系统的不同、用户帐户的不同,显示的菜单项目的名称和个数也不同)包括:“操作系统版本-用户帐户名”和“操作系统版本-超级管理员用户帐户名”。有多少用户帐户就有多少个菜单项目。比如该菜单项的下拉菜单。用鼠标左键勾选择不同项目可以实时切换不同帐户下自启动子项和自启动值项(哪个菜单项前打勾,就表示当前显示的是哪个帐户的自启动子项目和自启动值项)。

7. 项目操作


选择一个启动项目,右击,“Jump to Entry”会跳转到对应的注册表项,“Jump to Image”跳转到文件所在,“Delete”则是删除启动项及相应的注册表项:
启动项管理工具Autoruns使用实验(20),护网行动系列,windows,服务器,microsoft
8. 特色功能

比起注册表编辑器庞大的数据库来说,AUTORUNS显得更加专业--只管理开机自启动项,别的不管,使用起来更简便和有针对性。

利用“File”—“Compare”功能,可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项,使检验添加自启动项的正常与否变得更加方便。

“Verify code signature”、“Hide Microsoft Entries”这两个功能,使得判断某个自启动子项和自启动值项是否是恶意软件更加简单,否则项目太多(一般有200多个),会看着发晕的。

用“Jump to”菜单项目建立了与注册表之间的快速切换,特别适合用来调用注册表编辑器来编辑一些被恶意软件强行插入病毒模块字段的注册表值项值。

“Properties”菜单项目可以直接在自启动项目上用右键调出,直接定位并显示自启动项指向映像文件的“属性”,由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件(自启动项)是否正常!文章来源地址https://www.toymoban.com/news/detail-558912.html

到了这里,关于启动项管理工具Autoruns使用实验(20)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 简单介绍一下centos上有什么工具可以优雅的管理开机启动项

    在CentOS上,你可以使用以下工具来优雅地管理开机启动项: systemctl:systemctl 是 systemd 系统和服务管理器的主要命令。它提供了一种优雅的方式来管理启动项。你可以使用 systemctl 命令来启用、禁用、查看和管理系统服务。例如,要启用一个服务,可以使用 systemctl enable servi

    2024年02月11日
    浏览(48)
  • 【Docker管理工具】使用Docker部署portainer-ce管理工具

    Portainer是一个可视化的容器镜像的图形管理工具,利用Portainer可以轻松构建,管理和维护Docker环境。 而且完全免费,基于容器化的安装方式,方便高效部署。 Portainer Community Edition是一个用于容器化应用程序的轻量级服务交付平台,可用于管理 Docker、Swarm、Kubernetes 和 ACI 环境

    2024年02月19日
    浏览(55)
  • 5.git版本管理工具使用

    git是分布式版本管理工具 版本控制? 版本控制是一种记录文件或修改文件历史记录,让用户查看历史版本   集中版本控制 都有单一的集中管理服务器,保存所有文件的修订版本,开发者通过客户端连接这台服务器,取出最新文件或提交更新 缺点:中央服务器单点故障, 如

    2024年02月03日
    浏览(58)
  • git 工具使用--分支管理

    分支管理是Git的杀手级功能之一。分支:就是科幻中的平行宇宙,当你正在电脑面前学习C++的时候,另一个你正在另外一个平行宇宙里面学习Java。如果两个平行宇宙互不干扰,那对现在的你也没啥影响。不过,在某个时间点,两个平时宇宙合并了,结果,你既学习了C++,也学

    2024年02月16日
    浏览(43)
  • git代码管理工具使用全流程

    使用git进行代码的分布式版本管理,首先需要在本地安装、创建本地仓库以及配置git ① 安装git Windows下载安装即可 https://git-scm.com/downloads ② 创建本地仓库 ③ git配置 git本地仓库创建完成之后就可以开始从远程仓库开始拉取代码了 ① clone远程仓库代码 ② 同步远程分支代码到

    2024年02月14日
    浏览(61)
  • 如何使用可视化管理工具DockerUI远程管理docker容器

    DockerUI是一个docker容器镜像的可视化图形化管理工具。DockerUI可以用来轻松构建、管理和维护docker环境。它是完全开源且免费的。基于容器安装方式,部署方便高效,浏览和维护docker单节点或集群节点worker和manager。DockerUI具有易于使用的界面。它不需要记住 docker 指令。只需下

    2024年02月03日
    浏览(56)
  • Web安全-Behinder(冰蝎)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载zip压缩包后打开Behinder.jar即可 类别 运行环境要求 客户端 jre8+ 服务端 .net 2.0+;php 5.3-7.4;java 6+ 冰蝎(behinder)是一款动态二进制加密网站管理客户端。也叫做webshell管理工具,第一代w

    2024年02月13日
    浏览(46)
  • nginx界面管理工具之nginxWebUI 搭建与使用

    官网地址: http://www.nginxwebui.cn 源码地址:https://git.chihiro.org.cn/chihiro/nginxWebUI 本项目可以使用WebUI配置nginx的各项功能, 包括http协议转发, tcp协议转发, 反向代理, 负载均衡, ssl证书自动申请、续签、配置等, 最终生成nginx.conf文件并覆盖nginx的默认配置文件, 完成nginx的最终功能配置

    2024年04月10日
    浏览(38)
  • 包管理工具--》npm的配置及使用(二)

     在阅读本篇文章前请先阅读包管理工具--》npm的配置及使用(一) 包管理工具系列文章目录 一、包管理工具--》npm的配置及使用(一) 二、包管理工具--》npm的配置及使用(二)  三、包管理工具--》发布一个自己的npm包 四、包管理工具--》yarn的配置及使用 五、包管理工具

    2024年02月09日
    浏览(85)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包