Početna » škola » Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa

    Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa

    Većina geekova ima svoj izbor za bavljenje procesima koji se pokreću automatski, bez obzira da li je to MS Config, CCleaner, ili čak Task Manager u sustavu Windows 8 - ali nijedan od njih nije tako moćan kao autoruns, koji je također naš sat Geek School za danas.

    ŠKOLSKA NAVIGACIJA
    1. Što su SysInternals alati i kako ih koristite?
    2. Razumijevanje procesa Explorer
    3. Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
    4. Razumijevanje procesa Monitor
    5. Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
    6. Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
    7. Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
    8. Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
    9. Analiziranje i upravljanje vašim datotekama, mapama i pogonima
    10. Zamatanje i korištenje alata zajedno

    U starim danima, softver bi se automatski pokrenuo dodavanjem unosa u mapu Startup u izborniku Start ili dodavanjem vrijednosti u ključ Run u registru, ali kako su ljudi i softver postali pametniji u pronalaženju neželjenih unosa i njihovom brisanju , tvorci upitnog softvera počeli su tražiti načine da postanu sve više i više podli.

    Ove sjenovite tvrtke za kradljivac počele su razmišljati o tome kako automatski učitati svoj softver kroz objekte pomoćnih programa preglednika, usluge, upravljačke programe, zakazane zadatke, pa čak i kroz neke iznimno napredne tehnike kao što su otmice slika i AppInit_dlls.

    Ručno provjeravanje svakog od ovih uvjeta ne bi samo oduzimalo vrijeme, već je gotovo nemoguće učiniti za prosječnu osobu.

    To je mjesto gdje Autoruns dolazi i štedi dan. Naravno, možete koristiti Process Explorer da biste pregledali popis procesa i prešli duboko u teme i ručke, a Process Monitor može točno odrediti koji se ključevi registra otvaraju procesom i pokazuju vam nevjerojatne količine informacija. Ali ni jedan ne zaustavlja crapware ili zlonamjerni softver da se ponovo učita sljedeći put kada pokrenete računalo.

    Naravno, pametna strategija bila bi koristiti sve tri zajedno. Process Explorer vidi što se trenutno izvodi i koristi vaš CPU i memoriju, Process Monitor vidi što aplikacija radi pod haubom, a zatim dolazi autoruns da očisti stvari tako da se ne vrate.

    Autoruns vam omogućuje da vidite gotovo svaku stvar koja se automatski učitava na vaše računalo i onemogućite je jednostavno kao da kliknete potvrdni okvir. Nevjerojatno je jednostavan za korištenje i gotovo samorazumljiv, osim za neke stvarno komplicirane stvari koje trebate znati da biste razumjeli što neki od kartica zapravo znače. To će poučavati ova lekcija.

    Rad s Autoruns sučelje

    Možete zgrabiti Autoruns alat sa SysInternals web stranice kao i svi ostali i pokrenuti ga bez instaliranja. To ćete htjeti učiniti prije nastavka.

    Bilješka: Autoruns ne zahtijeva pokretanje kao administrator, ali realno ima najviše smisla to učiniti, jer postoji nekoliko značajki koje neće funkcionirati na neki drugi način, a postoji i mogućnost da i vaš zlonamjerni softver radi kao administrator.

    Kada prvi put pokrenete sučelje vidjet ćete tonu kartica i popis stvari koje se automatski pokreću na vašem računalu. Na zadanoj kartici Sve je prikazano sve sa svake kartice, ali to može biti malo zbunjujuće i dugotrajno, pa vam savjetujemo da pregledate svaku karticu zasebno.

    Važno je napomenuti da autoruns podrazumijevano skriva sve što je ugrađeno u Windows i postavlja se na automatsko pokretanje. Možete omogućiti prikazivanje tih stavki u opcijama, ali mi to ne bismo preporučili.

    Onemogućavanje stavki

    Da biste onemogućili bilo koju stavku na popisu, možete samo ukloniti potvrdni okvir. To je sve što trebate učiniti, samo prođite kroz popis i uklonite sve što vam ne treba, ponovno pokrenite računalo, a zatim ga ponovno pokrenite kako biste bili sigurni da je sve dobro.

    Bilješka: neki će zlonamjerni programi stalno pratiti lokacije s kojih pokreću automatsko pokretanje i odmah vratiti vrijednost. Pomoću tipke F5 možete ponovno skenirati i vidjeti je li se bilo koji unos vratio nakon onemogućavanja. Ako se jedan od njih ponovno pojavi, trebali biste koristiti Process Explorer da biste zaustavili ili ubili taj zlonamjerni softver prije nego ga onemogućite ovdje.

    Boje

    Poput većine alata SysInternals, stavke na popisu mogu biti različitih boja, a evo što oni znače:

    • Ružičasta - to znači da nisu pronađene informacije o izdavaču ili ako je uključena provjera koda, to znači da digitalni potpis ne postoji ili da se ne podudara, ili nema informacija o izdavaču.
    • zelena - ova boja se koristi kada se uspoređuje s prethodnim skupom podataka za automatsko pretraživanje da bi se naznačila stavka koja nije bila posljednji put.
    • Žuta boja - startni unos postoji, ali datoteka ili posao na koji ukazuje ne postoji više.

    Isto kao i većina SysInternals alata, možete kliknuti desnom tipkom miša na bilo koji unos i izvršiti niz radnji, uključujući skakanje na unos ili sliku (stvarna datoteka u Exploreru). Možete pretraživati ​​online ime procesa ili podatke u stupcu, vidjeti detaljna svojstva ili vidjeti da li se taj unos izvodi tako da brzo pretražite Process Explorer - iako mnogi procesi imaju predajnik koji tada pokreće nešto drugo prije tako da samo zato što ta značajka ne pokazuje rezultate ne znači ništa.

    Ako ste kliknuli Jump to Entry, prebacit ćete se izravno u Registry Editor, gdje možete vidjeti taj određeni ključ registra i pogledati okolo. Ako je unos bio nešto drugo, možda ćete biti preusmjereni na drugi uslužni program, kao što je Task Scheduler. Stvarnost je da većinu vremena Autoruns prikazuje sve iste informacije izravno u sučelju, tako da se obično ne morate gnjaviti ako ne želite naučiti više.

    Izbornik User (Korisnik) omogućuje analizu drugog korisničkog računa, što može biti vrlo korisno ako ste autoruns učitali na drugom računu na istom računalu. Važno je napomenuti da ćete očito morati raditi kao administrator da biste vidjeli druge korisničke račune na računalu.

    Potvrda potpisa koda

    Stavka izbornika Opcije filtra vodi vas na ploču s opcijama gdje možete odabrati jednu vrlo korisnu opciju: Potvrdite potpise koda. Time ćete provjeriti je li svaki digitalni potpis analiziran i provjeren, a rezultati prikazani u prozoru. Primijetit ćete da sve ružičaste stavke na donjoj slici zaslona nisu potvrđene ili informacije o izdavačima ne postoje.

    A za dodatnu zaslugu, možda ćete primijetiti da je ovaj snimak zaslona u nastavku gotovo isti kao i onaj na početku, osim u onom dijelu stavki na popisu gdje nije označen kao ružičasta. Razlika je u tome što prema zadanim postavkama ako je uključena opcija Potvrde koda provjere, autoruns će vas upozoriti samo na ružičasti redak ako ne postoje informacije o izdavačima.

    Analizirajte izvanmrežni sustav (kao u spajanju tvrdog diska na drugo računalo)

    Zamislite da je računalo vašeg prijatelja u potpunosti zbrkano i da se neće dignuti ili samo tako polako čizmice da ga zapravo ne možete koristiti. Pokušali ste sigurnosni način rada i opcije oporavka kao što je vraćanje sustava, ali to nije važno jer je neupotrebljivo.

    Umjesto povući "reinstalirati" karticu, koja je često samo "Ja odustati" karticu, možete yank iz tvrdog diska i priključite ga na svoje računalo ili laptop sa svojim praktičnim USB hard disk dock. Imate jednu, zar ne? Tada samo učitati gore Autoruns i otiđite na File -> Analyze Offline sustava.

    Pregledajte da biste pronašli direktorij sustava Windows na drugom tvrdom disku i korisnički profil korisnika kojeg pokušavate dijagnosticirati i kliknite U redu da biste pokrenuli.

    Trebat će vam pristup pisanju diska, naravno, jer ćete htjeti spremiti postavke kako biste uklonili sve gluposti koje nađete.

    Usporedba s drugim računalom (ili prethodna čista instalacija)

    Opcija Datoteka -> Usporedi izgleda neupotrebljiva, ali može biti jedan od najsnažnijih načina za analizu računala i vidjeti što je dodano od posljednjeg skeniranja ili usporedbe s poznatim čistim računalom.

    Da biste koristili ovu značajku, samo učitajte Autoruns na računalu koje pokušavate pregledati, ili koristeći izvanmrežni način koji smo ranije opisali, a zatim idite na File -> Compare. Sve što je dodano od verzije u usporedbi s datotekama pojavit će se u svijetlozelenom. Jednostavno je. Da biste spremili novu verziju, upotrijebite opciju Datoteka -> Spremi.

    Ako doista želite biti profesionalac, možete spremiti čistu konfiguraciju iz nove instalacije sustava Windows i staviti je na flash pogon da ponesete sa sobom. Spremite novu verziju svaki put kada prvi put dodirnete računalo kako biste bili sigurni da možete brzo identificirati sve nove kipare koje je vlasnik dodao.

    Gledajući kartice

    Kao što ste do sada vidjeli, Autoruns je vrlo jednostavan ali moćan alat koji bi vjerojatno mogao koristiti gotovo svatko. Mislim, sve što trebaš učiniti je odznačiti okvir, zar ne? Međutim, korisno je imati više informacija o tome što znače sve ove kartice, pa ćemo vas ovdje pokušati educirati.

    Sljedeća stranica: prijava, zakazani zadaci i otmica slika