Головна » школа » Використання Autoruns для роботи з запуску процесів і шкідливих програм

    Використання Autoruns для роботи з запуску процесів і шкідливих програм

    Більшість виродків мають свій вибір для роботи з процесами, які запускаються автоматично, будь то MS Config, CCleaner або навіть диспетчер завдань у Windows 8, але жоден з них не є настільки потужним, як Autoruns, який також є нашим уроком для школярів Geek для сьогодні.

    ШКОЛА НАВІГАЦІЇ
    1. Які інструменти SysInternals і як ви їх використовуєте?
    2. Розуміння процесу Explorer
    3. Використання Process Explorer для усунення неполадок та діагностики
    4. Розуміння процесу моніторингу
    5. Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі
    6. Використання Autoruns для роботи з запуску процесів і шкідливих програм
    7. Використання BgInfo для відображення системної інформації на робочому столі
    8. Використання PsTools для управління іншими комп'ютерами з командного рядка
    9. Аналіз і керування файлами, папками та дисками
    10. Загортання та використання інструментів разом

    У давні часи програмне забезпечення автоматично запускалося, додаючи запис до папки "Автозавантаження" в меню "Пуск", або додаючи значення до ключа "Пуск" у реєстрі, але оскільки люди та програмне забезпечення стали більш сприйнятливими до пошуку небажаних записів та видалення їх , виробники сумнівного програмного забезпечення почали знаходити способи отримати все більше і більше підлий.

    Ці тіньові компанії, що випускають програмне забезпечення, почали з'ясовувати, як автоматично завантажувати своє програмне забезпечення через допоміжні об'єкти браузера, служби, драйвери, заплановані завдання, і навіть через деякі надзвичайно просунуті технології, такі як знімки зображень і AppInit_dlls.

    Перевірка для кожного з цих умов вручну не тільки забирає багато часу, але й практично неможлива для середньої людини.

    Ось де входить автозапуск і зберігається день. Звичайно, ви можете використовувати Process Explorer для перегляду списку процесів і заглибитися в нитки і ручки, і Process Monitor може точно визначити, які ключі реєстру відкриваються за допомогою якого процесу і показують вам неймовірні обсяги інформації. Але ніхто не зупиняє завантаження програмного забезпечення чи шкідливого програмного забезпечення знову під час наступного завантаження комп'ютера.

    Звичайно, розумною стратегією було б використовувати всі три разом. Process Explorer бачить те, що в даний час працює і використовує ваш процесор і пам'ять, Process Monitor бачить, що програма робить під капотом, а потім Autoruns приходить, щоб очистити речі, щоб вони не повертаються.

    Autoruns дозволяє вам бачити майже кожну річ, яка автоматично завантажується на ваш комп'ютер, і вимкнути її так само просто, як натиснути прапорець. Це неймовірно простий у використанні, і практично не потребує пояснень, за винятком деяких дійсно складних речей, які потрібно знати, щоб зрозуміти, що саме означають деякі вкладки. Це те, що цей урок буде навчати.

    Робота з інтерфейсом Autoruns

    Ви можете захопити інструмент Autoruns з веб-сайту SysInternals так само, як і всі інші і запустити його без установки. Це потрібно зробити, перш ніж продовжити.

    Примітка: Для автозапуску не потрібно працювати як адміністратор, але реально це має сенс просто зробити так, оскільки є декілька функцій, які не працюватимуть інакше, і є ймовірність того, що шкідливі програми також працюватимуть як адміністратор.

    При першому запуску інтерфейсу ви побачите тонну вкладок і список речей, які автоматично запускаються на вашому комп'ютері. За умовчанням на вкладці Все відображається з кожної вкладки, але це може бути трохи заплутаним і тривалим, тому ми радимо просто пройти кожну вкладку окремо.

    Варто відзначити, що за замовчуванням Autoruns приховує все, що вбудовано в Windows, і встановлюється для автоматичного запуску. Ви можете ввімкнути показ цих елементів у параметрах, але ми не рекомендуємо це робити.

    Вимкнення елементів

    Щоб вимкнути будь-який елемент у списку, можна просто видалити прапорець. Це все, що потрібно зробити, просто перегляньте список і видаліть все, що вам не потрібно, перезавантажте комп'ютер, а потім запустіть його знову, щоб переконатися, що все добре.

    Примітка: деякі зловмисні програми будуть постійно відстежувати місця розташування, з яких вони запускають автозапуск, і негайно повернуть значення. Ви можете скористатися клавішею F5 для повторного сканування та перегляду будь-яких записів після їх вимкнення. Якщо один з них з'явився знову, ви повинні використовувати Process Explorer, щоб призупинити або вбити цю шкідливу програму, перш ніж вимкнути її тут.

    Кольори

    Як і більшість інструментів SysInternals, елементи у списку можуть бути різних кольорів, а ось вони означають:

    • Рожевий - це означає, що не було знайдено жодної інформації про видавця, або якщо ввімкнено перевірку коду, це означає, що цифровий підпис або не існує, або не відповідає, або немає інформації про видавця.
    • Зелений - цей колір використовується при порівнянні з попереднім набором даних автозапуску для позначення елемента, якого не було в останній раз.
    • Жовтий - запис для запуску існує, але файл або завдання, на яке він вказує, більше не існує.

    Також, як і більшість інструментів SysInternals, ви можете клацнути правою кнопкою миші на будь-якому записі та виконати ряд дій, включаючи перехід до запису або зображення (фактичний файл у Провіднику). Ви можете шукати в Інтернеті ім'я процесу або дані в стовпці, ознайомитися з детальними властивостями або подивитися, чи виконується цей запис, виконуючи швидкий пошук через Process Explorer - хоча багато процесів мають завантажувач, який потім запускає щось інше Вихід, так що тільки тому, що ця функція не показує жодних результатів, нічого не значить.

    Якщо ви натиснули кнопку Перейти до запису, ви перейдете безпосередньо до редактора реєстру, де ви зможете побачити цей окремий розділ реєстру та оглянути його. Якщо запис є чимось іншим, ви можете перейти до іншої утиліти, наприклад планувальника завдань. Реальність така, що більшість часу автозапуски відображає всю однакову інформацію безпосередньо в інтерфейсі, тому, як правило, вам не потрібно турбуватися, якщо ви не хочете дізнатися більше.

    Меню Користувач дозволяє аналізувати інший обліковий запис користувача, що може бути дуже корисним, якщо ви завантажили автозапуски на інший обліковий запис на тому ж комп'ютері. Варто відзначити, що вам, очевидно, буде потрібно працювати як адміністратор, щоб бачити інші облікові записи користувачів на ПК.

    Перевірка підписів коду

    Пункт меню Параметри фільтра переходить до панелі параметрів, де можна вибрати одну дуже корисну опцію: Перевірити підписи коду. Це дозволить перевірити, що кожен цифровий підпис аналізується та перевіряється, а результати відображаються у вікні. Ви побачите, що всі елементи в рожевому кольорі на наведеному нижче знімку вікна не підтверджено або інформація про видавця не існує.

    А для додаткового кредиту, ви можете помітити, що цей скріншот нижче майже такий самий, як і на початку, за винятком того, що деякі з пунктів у списку не позначені як рожеві. Різниця полягає в тому, що за умовчанням, якщо не ввімкнено параметр Підтвердження підпису коду, автозапуски лише сповіщатимуть вас про рожевий рядок, якщо інформація про видавця не існує.

    Аналізувати автономну систему (як при підключенні жорсткого диска до іншого ПК)

    Уявіть, що комп'ютер вашого друга повністю переплутаний і або не завантажується, або просто чоботи так повільно, що ви не можете його використовувати. Ви спробували безпечний режим і параметри відновлення, такі як "Відновлення системи", але це не має значення, тому що воно непридатне для використання.

    Замість того, щоб витягнути карту "перевстановити", яка часто є просто карткою "Я відмовляюся", можна витягти жорсткий диск і підключити його до комп'ютера або ноутбука за допомогою зручної док-станції для жорсткого диска USB. У вас є один, чи не так? Тоді ви просто завантажте автозапуски і перейдіть до File -> Analyze Offline System.

    Перегляньте каталог Windows на іншому жорсткому диску, а також профіль користувача користувача, який ви намагаєтеся діагностувати, і натисніть кнопку "OK", щоб почати.

    Вам, безумовно, знадобиться доступ до запису, тому що ви захочете зберегти налаштування, щоб видалити будь-які дурниці, які ви в кінцевому підсумку знайдете.

    Порівняння іншого ПК (або попередньої чистої інсталяції)

    Параметр File -> Compare здається невиразним, але він може бути одним з найпотужніших способів аналізу комп'ютера та перегляду того, що було додано з часу останнього сканування, або для порівняння з відомим чистим ПК.

    Щоб скористатися цією функцією, просто завантажте автозапуски на ПК, який ви намагаєтеся перевірити, або скориставшись режимом офлайн, який ми описали раніше, а потім перейдіть до файлу -> Порівняти. Все, що було додано після порівняння файлової версії, з'явиться в яскраво-зеленому кольорі. Це так просто. Щоб зберегти нову версію, скористайтеся параметром Файл -> Зберегти.

    Якщо ви дійсно хочете бути професіоналом, ви можете зберегти чисту конфігурацію з нової інсталяції Windows і покласти її на флеш-диск, щоб взяти з собою. Зберігайте нову версію кожного разу, коли ви перший раз торкаєтеся ПК, щоб переконатися, що ви можете швидко визначити всі нові crapware, які додав власник.

    Дивлячись на вкладки

    Як ви бачили до цих пір, Autoruns - це дуже проста, але потужна утиліта, яку, ймовірно, може використовувати майже кожен. Я маю на увазі, все, що вам потрібно зробити, це зняти прапорець, чи не так? Однак корисно мати додаткову інформацію про те, що означають усі ці вкладки, тому ми спробуємо виховувати вас тут.

    Наступна сторінка: Вхід, заплановані завдання та захоплення зображень