[ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项(附Autoruns安装教程)

news2024/12/28 20:02:09

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 🍬 博主介绍
  • 一、背景介绍
  • 二、Autoruns介绍
    • 1、Autoruns简介
    • 2、Msconfig查看启动项的弊端
    • 3、查看那些启动项
  • 三、Autoruns下载
  • 四、Autoruns使用
    • 1、使用介绍
    • 2、确认恶意程序
      • 1.检查手段
      • 2.操作方法
    • 3、验证代码签名
    • 4、Autoruns具体功能模块介绍
  • 五、相关资源

一、背景介绍

当服务器被攻击后,基本都会留下后门,木马程序等,维护人员就需要找到他们并清除。 而对于木马后门,都需要有一个加载选项,例如直接以程序文件的形式运行,插入其他进程中运行,以服务的形式加载,以activex控件形式加载等。

随后木马病毒肯定会访问网络,从我们检查角度一般需要对运行的进程、启动的加载项、端口连接等方面进行。

Autoruns可以查看加载在启动、activex、explorer、logon、services等中的木马程序。

二、Autoruns介绍

1、Autoruns简介

Windows官方提供的Autoruns工具,从字面来看很难理解其用途,因为直接翻译为“自动运行”,听上去好像是实现程序自动化运行的工具,但实际上,微软提供的这一款工具(Windows Sysinternals Autoruns For Windows)是用来查看、监视以及禁用自启动程序的最佳工具之一。

2、Msconfig查看启动项的弊端

通常,通过任务管理器或者Msconfig命令可以看到windows操作系统下自动运行的程序,但msconfig只显示启动和服务,并不检查数字签名,因此恶意程序很容易绕过msconfig隐藏起来。

3、查看那些启动项

Autoruns不仅仅显示在startup文件夹下的自动启动程序,也会显示通过Run/RunOnce或者其他注册表项实现自动启动的程序,也会详细显示文件管理器和IE扩展、工具栏、上下文菜单、驱动程序、服务、Winlogon项目乃至编解码器甚至Winsocks提供的程序等等,简言之,Autoruns几乎监控了windows系统下所有程序和启动项以供管理。

三、Autoruns下载

使用Autoruns工具查看服务器所有的进程,其中背景颜色为粉红色的程序,经排查均不是恶意程序,服务器不存在恶意程序

https://pan.baidu.com/s/1PmVo4nXbSyGaMmdJTZesSA?pwd=y0h8 

Autoruns汉化版下载链接:

https://pan.baidu.com/s/1SUNy9ChbmcAcfojV_wik7w?pwd=b37t 

下载下来文件如下

在这里插入图片描述

四、Autoruns使用

1、使用介绍

打开autoruns后会看到everything栏,可罗列出使用该软件能查看的所有项。

在这里插入图片描述

点击计划任务,也可以查看所有的计划任务,如下图发现两个恶意计划任务。其他功能模块也可同理查看。

在这里插入图片描述

2、确认恶意程序

1.检查手段

通过autoruns检查木马程序,主要通过如下信息来判断是否为木马程序:

1.文件是否有数字签名
2.在公司和描述栏中是否有相应的内容
3.程序的物理路径

2.操作方法

木马程序是没有数字签名的,我们可以多关注其描述(description)和出版商(publisher)栏,如果都为空,而又不确定是否为木马程序,则可以选中右键search online进行在线搜索,如果搜索没有相应的名称结果,则木马可能性比较大,木马取个名称是攻击者随意取的,搜出来的概率不大。

在这里插入图片描述

其他选项也类似,autoruns对于木马常用的加载都有列出,everything启动加载,logon登录加载,explorer windows管理器加载,ie浏览器加载,scheduled tasks定时任务加载,services服务加载,drivers设备加载等。如果确认为恶意程序之后可右键选择删除。

在这里插入图片描述

3、验证代码签名

选择验证代码签名(Verify Code Signatures),选下图勾选并点击重新扫描(Rescan) 按钮

在这里插入图片描述

如果不想在下次启动或登录时激活某个条目,可以禁用或删除。要禁用条目,把前面小框框的勾去掉就行。要删除它,请右键单击该条目并选择Delete。

在这里插入图片描述

4、Autoruns具体功能模块介绍

1、登录(Logon):
此条目会扫描标准自动启动位置,例如当前用户和所有用户的启动文件夹、(Startup)运行注册表(Run Registry)项和标准应用程序启动位置。
2、资源管理器(Explorer):
此条目显示Explorer shell 扩展、浏览器帮助对象、资源管理器工具栏、活动设置执行和 shell 执行挂钩。
3、IE浏览器(Internet Explorer):
此条目显示浏览器帮助程序对象(Browser Helper Objects)(BHO)、Internet Explorer工具栏和扩展。
4、计划任务(Scheduled Tasks):
任务(Task)计划程序任务配置为在引导或登录时启动。
5、服务(Services):
它显示所有配置为在系统启动时自动启动的Windows服务。
6、驱动(Drivers):
这将显示系统上注册的所有内核模式驱动程序,但禁用的驱动程序除外。
7、已知DLL(AppInit DLL):
这有 Autoruns 显示注册为应用程序初始化DLL。
8、引导执行(Boot Execute):
在启动过程早期运行的本机映像(与Windows映像相反)。
9、镜像劫持(Image Hijacks):
图像文件执行选项和命令提示符自动启动。
10、应用初始化(AppInit):
显示注册为应用程序初始化DLL的DLL。

11、已知的 DLL(Known DLLs):
这会报告 Windows 加载到引用它们的应用程序中的DLL的位置。(DLLs)
12、Winlogon (win登录通知):
显示注册登录事件的Winlogon通知的DLL 。(Shows DLLs)
13、Winsock 提供商(Winsock Providers): 
显示已注册的Winsock 协议,包括Winsock 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商,因为很少有工具可以删除它们。自动运行可以禁用它们,但不能删除它们。
14、LSA 提供者(LSA Providers):
显示(Shows)注册本地安全机构(Local Security Authority)( LSA ) 身份验证、通知和安全包。
打印机监视器驱动程序(Printer Monitor Drivers):
显示加载到后台打印服务中的DLL 。(DLLs)恶意软件(Malware)已使用此支持自动启动自身。
15、侧边栏(Sidebar Gadgets):
显示 Windows 边栏小工具。

五、相关资源

1、Autoruns工具下载链接
2、Autoruns汉化版下载链接

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/417092.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Spring详解简介

1、Spring的简介 Spring的英文翻译为春天,可以说是给Java程序员带来了春天,因为它极大的简化了开发。我得出一个公式:Spring 春天 Java程序员的春天 简化开发。最后的简化开发正是Spring框架带来的最大好处。 Spring是一个开放源代码的设计…

SpringSecurity之两个重要接口

前言 前面讲解了关于SpringSecurity的基本原理,其中介绍了过滤器链以及过滤器加载的过程。我们在前面入门案例中的用户名和密码是系统自动生成的,在真实应用环境中,是需要查询数据库获取用户名密码是否匹配的,那么如何实现呢&…

贯穿设计模式第二话--开闭职责原则

🥳🥳🥳 茫茫人海千千万万,感谢这一刻你看到了我的文章,感谢观赏,大家好呀,我是最爱吃鱼罐头,大家可以叫鱼罐头呦~🥳🥳🥳 从今天开始,将…

串口数据处理

1.在串口接收中断中接收到的数据写入环形缓冲区;唤醒解析线程(发出任务通知)或释放信号量。 2.开一个解析线程: void AT_Parser() {while(1){1.等待任务通知;读环形缓冲区(将数据存起来); 2.常…

FE_CSS 页面布局之浮动

网页布局的本质——用 CSS 来摆放盒子。 把盒子摆放到相应位置。CSS 提供了三种传统布局方式(简单说,就是盒子如何进行排列顺序): 普通流(标准流)浮动定位 1 标准流(普通流/文档流) 所谓的标准流: 就是标签按照规定…

LAMP架构与网站搭建实例

一.LAMP概述 1、LAMP的概念 LAMP架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态web站点服务及其应用开发环境 LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、…

53 openEuler搭建PostgreSQL数据库服务器-管理数据库

文章目录53 openEuler搭建PostgreSQL数据库服务器-管理数据库53.1 创建数据库创建数据库示例53.2 选择数据库选择数据库示例53.3 查看数据库查看数据库示例53.4 删除数据库删除数据库示例53.5 备份数据库备份数据库示例53.6 恢复数据库恢复数据库示例53 openEuler搭建PostgreSQ…

第十四届蓝桥杯省赛c/c++大学B组题解

第十四届蓝桥杯省赛c/c大学B组题解 个人答案,有错漏感谢指正哈 试题 A: 日期统计 本题总分:5 分 【问题描述】   小蓝现在有一个长度为 100 的数组,数组中的每个元素的值都在 0 到 9 的范围之内。数组中的元素从左至右如下所示&#xff…

Linux应用编程(文件属性与目录)

本章将会讨论如下主题内容。 ⚫ Linux 系统的文件类型; ⚫ stat 系统调用; ⚫ 文件各种属性介绍:文件属主、访问权限、时间戳; ⚫ 符号链接与硬链接; ⚫ 目录; ⚫ 删除文件与文件重命名。 一、Linux 系统中…

python编写一计票程序,键盘输入候选人姓名(输入“#”结束),使用字典存储并统计出候选人得票数。python实现分段函数。

一、编程题目 编程题目1&#xff1a;python编写一计票程序&#xff0c;键盘输入候选人姓名(输入“#”结束)&#xff0c;使用字典存储并统计出候选人得票数。 编程题目2&#xff1a;python实现以下分段函数&#xff1a; y 2x^34x^23 -10<x<0 y x14 0<x<6 y 6x…

001+limou+git安装与入门

1、git安装以及下载检查&#xff08;windows环境&#xff0c;macOS可能比较麻烦&#xff09; &#xff08;1&#xff09;下载git git官网下载&#xff0c; Git - Downloading Package (git-scm.com) &#xff08;2&#xff09;检查下载 以下命令可以检查git是否下载成功 $…

JAVA入坑之类和对象

目录 一、类 1.1面向对象(OOP)与面向过程 1.2面向对象的三个特性 1.3类的语法格式 1.3.1类的分类 1.3.2类修饰符 1.4变量 1.4.1变量格式 1.4.2成员变量 1.4.3区分实例变量和类变量 1.4.4局部变量 1.4.5区分成员变量和局部变量 1.5final关键字 1.5.1常量 1.6方法 …

基于Java+SSM+jsp的二手车交易网站设计与实现【源码(完整源码请私聊)+论文+演示视频+包运行成功】

博主介绍&#xff1a;专注于Java技术领域和毕业项目实战 &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精彩专栏推荐订阅&#x1f447;&#x1f3fb; 不然下次找不到哟 Java项目精品实战案例&#xff08;300套&#xff09; 目录 一、效果演示 二、…

博客首页效果

学习来自风宇blog的博客首页效果 全部用的基本上都是原生的html&#xff0c;css&#xff0c;js特别是flex布局的使用&#xff0c;主轴方向可以是横轴&#xff0c;也可以是纵轴&#xff0c;弹性项还可可以使用百分比sticky粘性布局&#xff0c;作为侧边栏&#xff0c;它不会超出…

Spring Cloud组件源码之OpenFeign源码分析

" Spring 到底是春天的来临万物复苏&#xff0c;还是春转夏的干燥又炎热呢&#xff1f;" Spring的来临让JavaEE走向了另一个高度。便捷的开发&#xff0c;完美的生态。物极必反&#xff0c;学习Spring的成本越来越低&#xff0c;导致Java程序员越来越密集&#xff0…

实习不对口,还去吗?

作者&#xff1a;阿秀校招八股文学习网站&#xff1a;https://interviewguide.cn这是阿秀的第「255」篇原创小伙伴们大家好&#xff0c;我是阿秀。欢迎今年参加秋招的小伙伴加入我的学习圈&#xff0c;目前已经超过 2200 小伙伴加入&#xff01;去年认真准备和走下来的基本都拿…

LBS计算附近的对象:MySQL 空间索引方式

目录1. MySQL空间数据类型的基本介绍1.1 什么是MySQL空间数据类型1.2 有哪些空间数据类型1.3 支持空间数据类型的引擎1.4 坐标系类型2. 存储坐标系的示例代码2.1 geomtry和point都可以存储坐标系&#xff0c;有什么区别呢&#xff1f;2.2 创建测试表2.3 新增坐标2.3 计算两地之…

计组2.1——计算机中的数据

问题&#xff1a;数据如何在计算机中表示&#xff1f; 运算器如何进行数字运算和逻辑运算&#xff1f; 计组2.11.进制转化&#xff1a;2. BCD码3.字符和字符串1.ASCII2.汉字编码3.字符串4.奇偶校验码1. 校验原理3. 奇偶校验5.汉明码6.循环冗余校验码1.进制转化&#xff1a; #me…

【C语言】关于文件操作你知多少?

目录 一.引入 二. 什么是文件 2.1 什么是文件 2.2 程序文件 2.3 数据文件 2.4 文件名 三.文件的打开和关闭 3.1 文件指针 3.2 文件的打开和关闭 四.文件的顺序读写 4.1 函数汇总 4.2 printf/fprintf/sprintf 4.3 scanf/fscanf/sscanf 五. 文件的随机读写 5.1 引入 5.2 fsee…

HTML5 <ins> 标签、HTML5 <link> 标签

HTML5 <ins> 标签 实例 一段带有已删除部分和新插入部分的文本&#xff1a; <p>My favorite color is <del>blue</del> <ins>red</ins>!</p> 尝试一下 浏览器支持 所有主流浏览器都支持 <ins> 标签。 标签定义及使用说明 …