启动项管理工具Autoruns使用实验(20)

news2024/11/25 2:50:31

实验目的
(1)了解注册表的相关知识;

(2)了解程序在开机过程中的自启动;

(3)掌握Autoruns在注册表和启动项方面的功能;

预备知识
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。

AutoRuns是一款启动项目管理工具,作用就是检查开机自动加载的所有程序,例如硬件驱动程序,windows核心启动程序和应用程序.它比windows自带的msconfig.exe还要强大,通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序.还能够详细的把启动项目加载的所有程序列出来。

实验环境
Autoruns 11.70 可运行在Windows XP 及更高版本、Windows Server 2003 及更高版本。

本实验的运行环境是win 7。

实验内容和步骤
任务描述:通过Autoruns实现对启动项的管理,查看不同类别的启动项

1. 启动程序

进入实验机桌面打开“启动项管理工具AutoRuns使用实验”文件夹,解压“实验工具Autoruns11.70.zip”。


双击“Autoruns.exe”,启动程序,进入程序主界面,默认显示的是“everything”选项卡下的内容,显示所有的开机自启动项,打钩代表当前设置开机启动,不打勾代表取消开机启动:

“logon”选项卡:用户登录到系统时自启动的项目

“Explorer”选项卡:对应资源管理器在注册表上的子项和值项

“Internet Explorer”选项卡:对应的是IE所有浏览器帮助对象(BHO)、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。

“Scheduled Tasks”选项卡:和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的,一般为空。

“Services”选项卡:HKLM\System\CurrentControlSet\Services对应的开机自启动服务的项目。由于具备开机自启动功能,而且依靠ROOTKIT技术可以隐蔽运行,所以是病毒(流氓软件)最爱光临的地方。

“Drivers”选项卡:HKLM\System\CurrentControlSet\Services对应的开机自启动驱动程序的项目,病毒经常光临的乐园。

“Boot Execute”:在系统登陆前启动的本地映像文件(即WINDOWS映像文件的对称)及自启动项的情况。如瑞星在系统登陆前自动扫描这样的自启动项。

“Image Hijacks”选项卡:在此标签下的内容对应的应用程序,开机后即被系统强制劫持而不能运行(就是我们经常说的IFEO,即系统自带的应用程序映像劫持功能)。

“AppInit”选项卡:初始化动态链接库,其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外,一般此项目应为空。

“Known DLLs”选项卡:系统中已知的DLL文件。

“Winlogon”选项卡:登录系统时登陆项对应的自启动注册表子项及值项。

“Winsock Providers”选项卡:显示已注册的WINSOCK协议,包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容,恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容,但不能禁用他们。

“Print Monitors”选项卡:显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。

“LSA Providers”选项卡:LSA的全称为“Local Security Authority”——本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从 Winlogon.exe中获取用户的账号和密码,然后经过密钥机制处理,并和存储在账号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。

2.“File”下拉菜单

“find”:查找和定位包含输入字段的所有自启动子项和值项。

“save”:保存当前的启动项到一个日志文件。

“compare”:用于比较当前状态和以前保存过的日志的差异并设置标记。如果选择这个菜单项目,则弹出一个对话框要求你选择一个你保存过的以前的日志,选定所需要的日志后,点“打开”,如果选定的日志的自启动子项、自启动值项与当前的状态有差异,Autoruns将以绿色突出显示,表示前后的自启动项存在不符,便于找出差异。如下图所示:



3.“Entry”下拉菜单


“Delete”:如果选定了一个自启动值项,该菜单项即可用,可以用来删除所选择的启动项目(不能一次删除多个项目,也不能删除开机自启动项目注册表子项)

“Copy”:可以复制所选择自启动子项和自启动值项,可用“粘贴”将启动子项和自启动值项的内容复制到其他需要用的地方。

“Jump to Entry”:选择这个菜单项后,将自动定位到所选自启动子项和自启动值项在注册表的相应位置,多用来对有问题但不能删除的自启动值项进行编辑,以修改被病毒强行修改的一些系统核心的自启动值项的注册表值项值。

“Jump to Image”:跳转到启动项对应的文件所在目录。

“Search Online”:在网上搜索启动项对应的文件

“Process Explorer”:需要其他软件的支持,“Process Explorer”是另外一个小工具。

“Properties”:可以快速显示自启动值项对应文件的属性,十分方便的功能,一些时候可以通过查找文件属性相关数据判断该文件是否正常(如创建时间等数据)。

4.“option”选项下的“Font”主要是进行字体的设置

5.“option”选项下的“Filter Options”

“Include empty locations“:即包括空白启动位置,如果AUTORUNS找不到自启动值项的启动位置,该值项将以空白显示。也就是说,如果AUTORUN找不到映像文件对应的自启动项目,选择这个菜单将显示这个AUTORUNS不能识别的自启动项(虽然自启动项目的名称和说明可能都是空的)。勾选或取消勾选后要用“刷新”才有效。

“Show only per-user locations”:只显示一个用户下的信息。 “Verify code signatures”:个很实用的功能,是用来指验证所有自启动值项的文件签名(Windows下的硬件有一个签名的功能,它是为了保证所有的驱动文件是经过MICROSOFT CORPORATION测试,符合HAL兼容性),如果核对通过,则可基本排除自启动值项是恶意软件的启动项目。勾选后要用“刷新”才有效。

“Hide Microsoft entries”:可以隐藏微软认证的项目,因为微软认证的项目不再显示,可供怀疑的自启动子项、自启动值项大幅度减少,使发现不正常的自启动值项的难度和工作量降低。勾选后要用“刷新”才有效。

6.“User”


该菜单项目的下拉菜单项目(根据操作系统的不同、用户帐户的不同,显示的菜单项目的名称和个数也不同)包括:“操作系统版本-用户帐户名”和“操作系统版本-超级管理员用户帐户名”。有多少用户帐户就有多少个菜单项目。比如该菜单项的下拉菜单。用鼠标左键勾选择不同项目可以实时切换不同帐户下自启动子项和自启动值项(哪个菜单项前打勾,就表示当前显示的是哪个帐户的自启动子项目和自启动值项)。

7. 项目操作


选择一个启动项目,右击,“Jump to Entry”会跳转到对应的注册表项,“Jump to Image”跳转到文件所在,“Delete”则是删除启动项及相应的注册表项:

8. 特色功能

比起注册表编辑器庞大的数据库来说,AUTORUNS显得更加专业--只管理开机自启动项,别的不管,使用起来更简便和有针对性。

利用“File”—“Compare”功能,可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项,使检验添加自启动项的正常与否变得更加方便。

“Verify code signature”、“Hide Microsoft Entries”这两个功能,使得判断某个自启动子项和自启动值项是否是恶意软件更加简单,否则项目太多(一般有200多个),会看着发晕的。

用“Jump to”菜单项目建立了与注册表之间的快速切换,特别适合用来调用注册表编辑器来编辑一些被恶意软件强行插入病毒模块字段的注册表值项值。

“Properties”菜单项目可以直接在自启动项目上用右键调出,直接定位并显示自启动项指向映像文件的“属性”,由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件(自启动项)是否正常!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/392430.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android Framework-Android启动过程

第一个系统进程(init) Android设备的启动必须经历3个阶段,即Boot Loader、Linux Kernel和Android系统服务,默认情况下它们都有各自的启动界面。严格来说,Android系统实际上是运行于Linux内核之上的一系列“服务进程”…

元宇宙XR应用,如何迎接大规模普及的时代?

未来,具有互动性、沉浸感的元宇宙/XR应用将逐渐成为主流,这个趋势已毋庸置疑。 然而,在大趋势下,大众终端用户普遍设备能力不足、网络传输时延、GPU算力分配限制等技术挑战,依然是元宇宙/XR应用在大众广泛渗透的瓶颈。…

【vulhub漏洞复现】Fastjson 1.2.24反序列化漏洞

一、漏洞详情Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。漏洞成因:目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行&…

国产数字源表在压力传感器电阻测量上的应用

压力传感器分类压力传感器(Pressure Transducer)是能感受压力信号,并能按照一定的规律将压力信号转换成可用的输出的电信号的器件或装置,压力传感器通常由压力敏感元件和信号处理单元组成。常见的压力传感器有四种:应变式压力传感器、压阻式压力传感器、电容式压力传…

OpenMMLab 目标检测

OpenMMLab 目标检测1. 目标检测简介1.1 滑窗2. 基础知识2.1 边界框(Bounding Box)3. 两阶段目标检测算法3.1 多尺度检测技术4. 单阶段目标检测算法4.1 YOLO: You Only Look Once (2015)4.2 SSD: Single Shot MultiBox Detetor (2016)5. 无锚框目标检测算…

Nginx的搭建与核心配置

目录 一.Nginx是什么? 1.Nginx概述 2.Nginx模块与作用 3.Nginx三大作用:反向代理、负载均衡、动静分离 二.Nginx和Apache的差异 三.安装Nginx 1.编译安装 2.yum安装 四.Nginx的信号使用 五.Nginx的核心配置指令 1.访问状态统计配置 2.基于授…

非华为电脑安装华为电脑管家以及注意事项

非华为电脑安装华为电脑管家前言安装注意事项效果展示前言 非华为电脑是可以安装华为电脑管家的,不过部分功能可能不兼容。值得一提的是,超级终端、多屏协同、文件共享、远程控制等功能大部分电脑是可以使用的,本人在联想ThinkBook 15电脑上…

【CS144】Lab1总结

Lab1Lab汇总概述具体实现Lab汇总 概述 lab1要求实现一个字符串的装配器,用于将TCPTCPTCP接收方接收到的字节流拼接起来,并缓存一定量的乱序到达的字节,便于TCPTCPTCP接收方相关功能的实现。 具体实现 该装配器实现的重点是push_substring…

Java线程池使用与原理解析2(自定义线程池、合适的线程数量、线程池阻塞队列、线程拒绝策略)

在上篇我们学习了线程池各个参数的含义,线程池任务处理流程,使用线程池的好处等内容,本篇我们学习如何创建一个适合我们业务的线程池。为此,我们有必要先学习一下如何大概确定我们线程池核心线程数、怎么设置阻塞队列的类型与大小…

Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass

写在最前 如果你是信息安全爱好者,如果你想考一些证书来提升自己的能力,那么欢迎大家来我的 Discord 频道 Northern Bay。邀请链接在这里: https://discord.gg/9XvvuFq9Wb我拥有 OSCP,OSEP,OSWE,OSED&…

使用leangoo领歌单团队敏捷开发项目管理

概述单团队敏捷开发主要是针对10人以下、只有一个Scrum团队的小型产品或项目的敏捷开发。对于小型团队来说,在Leangoo中创建一个单团队敏捷开发项目就可以很好地支持团队产品或项目的开发。适用场景适用于单个团队进行Scrum敏捷开发协作,Leangoo项目内也…

Linux - 磁盘存储管理 磁盘引入

# 我们要介绍下 磁盘管理, 那不妨先来看一张图来简单 引入 :这张图呢,是我们 Windows 上的磁盘管理的显示 。根据这幅图呢,提出一个问题 :>>> 这幅图磁盘管理所显示的内容,你能判断出 该电脑 有几…

【FMCW 04】测角-Angle FFT

在之前的文章中,我们已经详尽讨论过FMCW雷达测距和测速的原理,现在来讲最后一块内容,测角。测角对于硬件设备具有要求,即要求雷达具有多发多收结构,从而形成多个空间信道(channel),我…

css选择器详解

简单选择器(根据名称、id、类来选取元素)组合器选择器(根据它们之间的特定关系来选取元素)伪类选择器(根据特定状态选取元素)伪元素选择器(选取元素的一部分并设置其样式)属性选择器…

第六讲:ambari-web 模块二次开发

上述图片为 Ambari 部署及操作 hdp 集群相关的部分界面截图。这些页面如果想调整的话,比如汉化,二次开发等,则可以修改 ambari-web 模块的源码来实现。 一、介绍 ambari-web 模块涉及到的界面有: HDP 集群部署向导已安装服务的仪表板、配置界面等主机列表及详细信息告警列…

【Opencv项目实战】图像的像素值反转

文章目录一、项目思路二、算法详解2.1、获取图像信息2.2、新建模板2.3、图像通道顺序三、项目实战:彩图的像素值反转(方法一)四、项目实战:彩图的像素值反转(方法二)五、项目实战:彩图转换为灰图…

Java中class文件的格式

常见的class文件格式如下图所示,下面我将对一下格式一一作出解释。 一、magic 该部分主要是对语言类型的规范,只有magic这个部分是CAFEBABE时才能被检测为Java语言,否则则不是。 二、minor version和major version minor version主要表示了…

【微信小程序-原生开发】实用教程16 - 查看详情(含页面跳转的传参方法--简单传参 vs 复杂传参)

需在实现列表的基础上开发 【微信小程序-原生开发】实用教程15 - 列表的排序、搜索(含云数据库常用查询条件的使用方法,t-search 组件的使用)_朝阳39的博客-CSDN博客 https://sunshinehu.blog.csdn.net/article/details/129356909 效果预览 …

【计算机网络】数据链路层可靠传输机制的三大协议:停止等待协议SW、后退N帧协议GBN、选择重传协议SR

一、可靠传输实现机制 1.停止等待协议SW case1、确认与否认 在发送端发送数据出现误码时,接收端回复一个NAK否认码,并要求发送端再发送一次。 case2、超时重传 接收端接收不到数据分组时,发送端就会一直处于等待接受端回复ACK或NAK的状态…

32 文件操作

目录 一、文件的概念 二、文件的分类(分类依据:能否使用文本编辑器打开文件) 1、文本文件 2、二进制文件 三、文件操作的步骤 1、打开文件:open()函数 2、打开文件的另一种写法(推荐):with open…