Autoruns – управление автозапуском программ в Windows.

Boot execute (выполнение при загрузке)

С этим вам, вероятно, не придётся иметь дело, это используется для вещей, которые запускаются во время загрузки системы, например, когда вы планируете проверку жёсткого диска во время загрузки, поскольку это не может произойти, пока Windows фактически загружена.

Codecs (кодеки)

Это библиотеки кода, которые используются для управления воспроизведением мультимедиа для видео или аудио, и, к сожалению, вредоносные программы использовали их как способ автоматического запуска на компьютере. При необходимости вы можете отключить их здесь.

Drivers (драйверы)

Вы не поверите, но некоторые производители вредоносного ПО и вредоносных программ на самом деле создали драйверы устройств, содержащие вредоносные программы или очень соминтельные компоненты, которые шпионят за вами. После того, как наша тестовая машина была заражена кучей вредоносных программ, мы заметили, что одна из них принесла с собой драйвер. Мы все ещё не совсем уверены в том, что он делает, но учитывая, как он туда попал, вряд ли это что-то хорошее.

Вы определенно захотите быть более осторожными на этом экране. Отключение неправильных драйверов может сломать ваш компьютер, поэтому исследуйте, щелкните каждый из них правой кнопкой мыши и выполните поиск в Интернете, и отключайте что-то только в том случае, если оно, скорее всего, связано со шпионским ПО.

Explorer (проводник)

На этой вкладке перечислены все дополнительные компоненты, которые могут загружаться в проводник Windows. В основном это будут надстройки контекстного меню и другие подобные вещи.

Если вы испытываете снижение производительности при просмотре файлов, использовании контекстного меню или просто во всех окнах Windows, это, вероятно, является виновником. Вы можете отключить здесь все, что захотите, хотя вы можете потерять некоторые функции для определённых приложений.

Image hijack (перехват образа)

Если вы прочитали наш второй урок о Process Explorer, то вы узнали, что вы можете заменить диспетчер задач на Process Explorer, но вы, вероятно, не знали, как это происходит на самом деле, не говоря уже о том, что вредоносное ПО может и использует тот же метод для захвата приложений.

Вы можете установить ряд настроек в реестре, которые управляют загрузкой вещей, включая захват всех исполняемых файлов и их запуск через другой процесс или даже назначение «отладчика» любому исполняемому файлу, даже если это приложение не является отладчиком.

По сути, вы можете назначать значения в реестре, чтобы при попытке загрузить notepad.exe вместо этого загружался calc.exe. Или любое приложение может быть заменено другим приложением. Это один из способов, которым вредоносное ПО блокирует загрузку антивирусов или других средств защиты от вредоносных программ.

Вы можете убедиться в этом сами — слева находится имя исполняемого файла, а с правой стороны клавиша «Отладчик» установлена на экземпляр Process Explorer, который запущен с моего рабочего стола. Но вы можете изменить это на что угодно и это будет работать. Вероятно, это будет отличная шутка, которую не так просто обнаружить.

Если вы видите что-либо на вкладке Image Hijacks, кроме значений для Process Explorer, вы должны немедленно отключить их.

Internet explorer

Эта вкладка потеряла актуальность, поскольку мало кто уже использует Internet Explorer. На этой вкладке перечислены все расширения браузера, панели инструментов и вспомогательные объекты браузера, которые обычно используются вредоносными программами, чтобы шпионить за вами или показывать вам рекламу. Мы рекомендуем снимать отметку практически со всех элементов, которые вы видите.

Knowndlls

Этот ключ гарантирует, что Windows использует определённую версию файла DLL. По большей части вам не нужно беспокоиться об этом, если вредоносное ПО не испортило этот список — основная цель использования этой вкладки — просто убедиться, что все, что там указано, действительно является проверенным компонентом Windows, что довольно просто.

Logon (вход в систему)

Эта вкладка проверяет все «обычные» места в Windows на предмет автоматической загрузки, включая ключи Run и RunOnce реестра, меню «Пуск»… и многие другие места. Как оказалось, существует 43 различных «обычных» места, куда программное обеспечение может вставлять себя для автоматического запуска при входе в систему или выходе из неё. Неудивительно, что в Windows существуют такие огромные проблемы с вредоносным, нежелательным и шпионским ПО!

:/>  Брандмауэр «Windows Firewall». Настройка и отключение.


Наш совет: снимите галочки со всего, что вам не нужно. Вы всегда можете повторно включить это, если хотите.

Scheduled tasks (задачи по расписанию)

Это один из самых сложных способов скрытия вредоносных программ в наши дни. Вместо того, чтобы прятаться в каких-либо местах, которые люди умеют искать, вредоносная программа создаёт запланированную задачу для переустановки себя, показа рекламы или выполнения всевозможных гнусных вещей.

Мы рекомендуем удалить почти все, что вы не узнаете и определённо не принадлежит Microsoft. Это один из примеров, когда действительно полезно использовать параметр Verify Code Signatures («Проверить подписи кода»).

Services (службы)

После выполнения задач одно из наиболее распространённых и коварных мест, где вредоносное ПО скрывается в наши дни, – это регистрация службы в Windows или, в некоторых случаях, создание службы, которая помогает убедиться, что другие вредоносные процессы все ещё работают.

Будьте осторожны при отключении чего-либо на этой вкладке, поскольку некоторые вещи могут быть законными и необходимыми. На скриншоте ниже вы увидите несколько подходящих сервисов Google, Microsoft и Mozilla. Если мы отключим их, это не сильно навредит, но все же стоит провести дополнительное исследование, прежде чем отключать какие-либо вещи, если вы ещё не определили их как вредоносное или нежелательное ПО.

Winlogon, winsock providers, print monitors, lsa providers, network providers

Обычно вам не следует беспокоиться об этих вкладках, поскольку они просто содержат надстройки, расширяющие различные аспекты Windows — Winlogon и LSA подключаются к системе входа и аутентификации, Winsock и Network обрабатывают сеть, а мониторы печати — это сторонние приложения, которые работают с вашим принтером.

Если у вас есть значения на этих вкладках, стоит изучить их, прежде чем отключать их. Несомненно, вредоносное ПО может захватить эти вещи.

Анализ выключенного компьютера (использование autoruns для диска другого компьютера)

Представьте, что компьютер вашего друга полностью неисправен и либо не загружается, либо загружается так медленно, что вы не можете им пользоваться. Вы пробовали безопасный режим и варианты восстановления, такие как Восстановление системы, но это не имеет значения, потому что его нельзя использовать.

Вместо того, чтобы переустанавливать систему, вы можете вынуть жёсткий диск и подключить его к ПК или ноутбуку с помощью SATA-USB переходника. Затем вы просто загружаете Autoruns и идете в File → Analyze Offline System.

Найдите каталог Windows на другом жёстком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите OK, чтобы начать.

Разумеется, вам понадобится доступ для записи на диск, потому что нужно сохранить настройки, чтобы удалить всё ненужное.

Вкладки autoruns

Как вы уже видели, Autoruns — очень простая, но мощная утилита, которую, вероятно, может использовать почти любой. Я имею в виду, всё, что вам нужно сделать, это снять флажок, верно? Однако полезно получить дополнительную информацию о том, что означают все эти вкладки, поэтому мы постараемся вас познакомить здесь.

Гаджеты боковой панели

Если у вас есть какие-либо гаджеты боковой панели в Vista или Windows 7, вы увидите их здесь и можете отключить их, если хотите.

Загрузка и запуск программы autoruns

Последнюю версию программы можно с официального сайта Microsoft по прямой ссылке:

Обзор утилиты autoruns от

Обзоры утилит от Sysinternals.com:

В продолжение цикла статей о свободно распространяемых на Sysinternals.com утилитах вашему вниманию предлагается обзор утилиты Autoruns, которая позволяет контролировать автозагрузку при старте системы компонентов, сервисов и приложений. Скачать утилиту можно на странице загрузки Autoruns. Размер архива 139 килобайт.

Утилита не требует установки. Достаточно распаковать архив и запустить autoruns.exe. Пример главного окна утилиты показан на рисунке ниже.Главное окно Autoruns

После запуска утилиты в главном окне перечислены объекты, которые автоматически запускаются при старте системы. Чтобы отключить запуск определенного объекта достаточно снять отметку напротив его имени. Отключение не удаляет автозапуск, а лишь отключает его. В последствии можно будет включить автозапуск, вернув отметку около названия, отключенного ранее автозагружаемого компонента.

:/>  WMI на службе системного администратора. — Реальные заметки Ubuntu & Mikrotik

Чтобы удалить компонент из автозагрузки можно воспользоваться контекстным меню, которое вызывается щелчком правой кнопки мыши на названии объекта или выделить объект и нажать Ctrl D.

Чтобы просмотреть ярлык для запуска приложения или ключ реестра, который его запускает, можно воспользоваться пунктом меню Entry – Jump to. Откроется Проводник или редактор реестра и будет выполнен переход в то место, откуда запускается приложение.

Autoruns позволяет легко получить дополнительную информацию о приложении или сервисе, которые показаны в главном окне программы. Для этого нужно выделить интересующее приложение и нажать Ctrl G или выбрать в меню Entry – Google. Autorun сформирует запрос и отправит его на поисковую систему Google, результаты которого можно будет просмотреть браузером.

Для просмотра свойств файла, автоматический запуск которого выполняется при загрузке системы, достаточно выделить интересующий пункт в главном окне Autoruns и выбрать в меню Entry – Properties. Откроется окно свойств файла, такое же, как то, которое открывается щелчком правой кнопки по файлу в Проводнике и выбора Свойства.

При необходимости можно просмотреть информацию об автозагружаемых библиотеках, расширениях Проводника, службах, библиотеках, которые зарегистрированы для отображения событий, возникающих при входе в систему. Для получения всей этой информации нужно отметить один из пунктов Show AppInit DLLs, Show Explorer Addons, Show Services, Show Winlogon Notifications в меню View. Управлять автозапуском перечисленных объектов можно так же, как описывалось выше.

Autoruns позволяет просмотреть те папки и ключи реестра, которые могут использоваться для автозапуска приложений, но в данный момент не задействованы. Для отображения этих мест нужно выбрать в меню View – Include Empty Locations.

При большом количестве записей в главном окне программы может быть полезно скрыть те из них, которые имеют цифровую подпись Microsoft (View – Hide Signed Microsoft Entries). Отключение показа таких записей позволит быстрее найти автозагружаемый объект.

Утилита Autoruns может работать и из командной строки. Для этого предназначен файл autorunsc.exe, который находится в том же архиве, что и autoruns.exe. Ключи для работы с Autoruns из командной строки приведены в документации к утилите.

Autoruns может быть очень полезна при «чистке» компьютера от самостоятельно установившихся модулей, которые могут открывать страницы, подменять стартовую страницу в браузере, при лечении от некоторых типов вирусов и при оптимизации скорости загрузки системы в целом. Утилита снимает с пользователя необходимость иметь перед глазами список мест, откуда приложение может запускаться при загрузке системы и избавляет его от необходимости вручную проверять все подобные места.

Полезное видео

Проверка подписей кода

Пункт меню Filter Options («Параметры фильтра») переносит вас на панель параметров, где вы можете выбрать один очень полезный параметр: Verify Code Signatures («Проверить подписи кода»). Это позволит убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне.

И для дополнительной уверенности вы можете заметить, что этот снимок экрана ниже почти такой же, как и тот, что находится в начале, за исключением того, что некоторые элементы в списке не отмечены как розовые. Разница в том, что по умолчанию без включённой опции «Проверить подписи кода» Autoruns будет предупреждать вас розовой строкой только в том случае, если информация об издателе не существует.

Программа autoruns

Она изначально портативна, её нет надобности устанавливать — скачали (1.2 Мб) и сразу запускаем…

Для более-менее опытных пользователей тут и объяснять дальше нечего — программа нашла и показала нам абсолютно всё, что автоматически загружается вместе с системой.

Осталось немножко проанализировать отображённую информацию и ускорить запуск Windows благодаря отключению всего лишнего. Это не так сложно и страшно, как кажется.

Для малоопытных и начинающих хакеров попытаюсь показать и объяснить логику, которой придерживался отключая или удаляя лишние пункты автозагрузки.

Серия уроков по пакету утилит sysinternals

1. Что такое инструменты SysInternals и как их использовать?

:/>  Восстановление системы с помощью Acronis USB | Lyapidov

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

Следующий урок


Это все для Autoruns, но следите за обновлениями в следующих частях, когда мы расскажем вам о BGInfo и отображении системной информации на вашем рабочем столе.

Связанные статьи:

Сравнение с другим пк (или предыдущая чистая установка)

Параметр File → Compare («Файл» → «Сравнить») кажется невзрачным, но это может быть один из самых эффективных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.

Чтобы использовать эту функцию, просто загрузите Autoruns на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в File → Compare. Всё, что было добавлено с момента сравнения версии файла, будет отображаться ярко-зелёным цветом. Это так просто. Чтобы сохранить новую версию, воспользуйтесь опцией File → Save (Файл → Сохранить).

Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить её на флэш-накопитель, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы быть уверенным, что вы сможете быстро идентифицировать все новое вредоносное ПО, добавленное владельцем.

Цвета


Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:

  • Розовый — это означает, что информация об издателе не найдена, или, если проверка кода включена, означает, что цифровая подпись либо не существует, либо не соответствует, либо информация об издателе отсутствует.
  • Зелёный — этот цвет используется при сравнении с предыдущим набором данных автозапуска для обозначения элемента, которого не было в прошлый раз.
  • Жёлтый — запись для запуска есть, но файл или задание, на которое она указывает, больше не существует.

Так же, как и большинство инструментов SysInternals, вы можете щёлкнуть правой кнопкой мыши любую запись и выполнить ряд действий, включая переход к записи или изображению (фактический файл в проводнике). Вы можете выполнить поиск в Интернете по имени процесса или данных в столбце, просмотреть подробные свойства или посмотреть, запущена ли эта запись, выполнив быстрый поиск через Process Explorer, хотя у многих процессов есть загрузчик, который что-то запускает и выходит, поэтому если вы ничего не нашли среди запущенных процессов, это ещё ничего не значит.

Заключение

Программа Autoruns может быть весьма полезна в тех случаях, когда вам требуется устранить какую-то проблему в системе, например, окончательно избавиться от какого-то рекламного баннера или вируса, в том случае когда антивирус удаляет не всё и вирус по-прежнему активен.

Мне программа Autoruns помогла однажды исправить проблему в работе Windows 10, связанную с драйвером. Тогда у меня компьютер не перезагружался, не выключался и не мог уйти ни в один из режимов сна. Путём последовательного отключения пунктов автозагрузки через программу Autoruns, удалось выявить сбойный драйвер в системе!

Также, конечно, через эту программу можно просто отключать ненужные вам программы из автозапуска, чтобы разгрузить Windows на этапе её загрузки.

Но всегда пользуйтесь программой с осторожностью!

Источник

Appinit

Еще один пример того, почему в Windows так много вредоносного и шпионского ПО, записи AppInit_dlls в реестре удивительны и невероятны. В какой-то момент Microsoft добавила в Windows функцию, которая загружает все файлы DLL, перечисленные в определённом разделе реестра… в каждый запускаемый процесс.

Оставьте комментарий

Adblock
detector