AutoRuns分析和总结分析和总结.docx

AutoRuns

Autoruns

Autorunsfor Windows 是Mark Russinovich 和Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在 “启动”文件夹和注册表相关键中的程序。此外， Autoruns还可以修改包括：Windows 资源管理器的 Shell 扩展（如右键弹出菜单）、 IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的

自启动程序。

Autoruns 作为Sysinternals Suite （故障诊断工具套装）的一部分，现在的最新发布是 9.5 版本，可运行于 WindowsXP、Windows Server 2003 和更高版本的Windows 操作系统。该软件还包括一个相同功能的命令行版本 Autorunsc，可以把结果报表以 CSV 格式输出。Autoruns的官方网站是：/en-us/sysinternals/bb963902.aspx( 英文)和/zh-cn/bb963902.aspx （中文）。

AutoRuns介绍

AutoRuns是一款出色的启动项目管理工具，首先我们来谈一下它的作用： AUTORUNSR的作用就是检查开机自动加载的所有程序，例如硬件驱动程序， windows核心启动程序和应用程序．它比 windows自带的msconfig.exe 还要强大，通过它我们还可以看到一些在 msconfig里面无法查看到的病毒和木马以及恶意插件程序．还

能够详细的把启动项目加载的所有程序列出来。比如 logon,explorer,还有ＩＥ上加载的dll跟其它组键．

“全部”--顾名思义，全部的开机自启动项都在这个标签下啦。另外，它也是双击 autoruns.exe 弹出窗口缺省定位的标签，包括其他标签的所有内容。

“登陆”--细心的朋友可以发现，该标签下 HKLM\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run 、HKCU\Software\Microsoft\Windows\CurrentVersion\Run 这两个注册表子项的内容与系统配置实用程序 “启动”标签下打勾的项目是完全一样的，甚至“登陆”的图标也和系统配置实用程序 MSCONFIG.EXE 的图标完全相同，呵呵！当然，除了以上项目外，该标签还包括 HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms 、HKLM\SOFTWARE\Microsoft\Window

sNT\CurrentVersion\Winlogon\Userinit 、HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Shell 这三个自启动子项的内容，这些是用系统配置实用程序“启动”标签看不到的内容。

“资源管理器”：对应资源管理器在注册表上的子项和值项。

“英特网浏览器”：对应的是IE所有浏览器帮助对象（BHO）、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。

“计划任务”：和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的，一般为空。

“服务”：即HKLM\System\CurrentControlSet\Services对应的开机自启动服务的项目。由于具备开机自启动功能，而且依靠ROOTKIT技术可以隐蔽运行，所以是病毒（流氓软件）最爱光临的地方。

“驱动”：即HKLM\System\CurrentControlSet\Services对应的开机自启动驱动程序的项目。同上，又一个病毒经常光临的乐园。

“启动执行”：在系统登陆前启动的本地映像文件（即WINDOWS映像文件的对称）及自启动项的情况。形象地理解一下，就是貌似瑞星的系统登陆前扫描这样的自启动

项。

“映像劫持”：在此标签下的内容对应的应用程序，开机后即被系统强制劫持而不能运行（就是我们经常说的 IFEO，即系统自带的应用程序映像劫持功能）。

“APPINIT”：初始化动态链接库，其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加 DLL文件到此处实现从开机就接管系统底层的目的外，一般此项目应为空。

“KNOWNDLLS”