如何使用Autoruns

Autoruns是一款由Sysinternals开发的系统软件。众所周知，Windows操作系统在启动时某些软件也会一并运行，比如病毒防火墙、 QQ等，当然木马病毒也会在操作系统启动时自动运行起来。Autoruns可以很方便的列举出你系统中所有自动运行的程序，并对他们进行屏蔽或删除等操 作。
　　首先解压缩下载后的压缩包（文件下载地址见网站首页），共有四个文件（见图1）！其作用为：
　　　　 autoruns.chm　帮助文件
　　　　 autoruns.exe 　 在Windows下运行的界面程序（本文讲解得重点）
　　　　 autorunsc.exe　 在Dos模式下可运行的控制端程序（非本文讲解重点）
　　　　 Eula.txt　　　　 用户许可协议　　

图 1

　　用鼠标双击autoruns文件，如果你是第一次运行Autoruns这时会出现一个“用户许可协议”的窗口（见图2）,点击“Agree（同意）”按钮后便会进入Autoruns软件主界面。

图 2

　　因为Autoruns是一款国外的软件，所以当你第一次进入Autoruns主界面后会感觉他的字显示的比较小，因此我们在正式使用软件前首先需要设置Autoruns的字体。每一次打开软件或刷新“文件列表”时，Autoruns都会先对系统进行一番扫描，这时是无法设置字体的。见软件的左下角有文字提示“(Escape to cancel) Scanning…（按键盘左上角的ESC键取消扫描）”（如图3所示），按下键盘右上角“ESC”键后，软件将会停止扫描。扫描结束后软件左下角的提示文字为“Ready”（可见图4左下角处）,

图 3

　　鼠标点击菜单“Option（选项）”，再点击“Font（字体）”，如图4所示：

图 4

　　在弹出的字体设置窗口中，选择合适的“Font（字体）”、“Size（字号）”后，点击“OK（确定）”按钮（如图5）。这时Autoruns界面的字体已经有所改变，但是会显得有些紧凑，只要将Autoruns软件关闭，再如上面所描述的将软件重新打开一次，字体大小就会看很舒服。

图 5

　　接下来切入本文的正题。操作系统中有很多文件是在我们不知情的情况下自动运行的，这些文件可以分成若干个大类：服务程序(Services)、驱动程序（Drivers）、普通启动程序（Logon）等等。我们可以通过点击软件的分类标签单独的查看某个分类下的所有自动运行的软件，如果只查服务程序（Services）分类下的内容，鼠标点击标签页按钮“Services（服务）”，如图6所示。

图 6

　　通过鼠标点击每一个分类标签的方式查看所有自动运行的软件是比较繁锁的。我们可以点击标签页按钮“Everything（所有）”，这时所有的自动运行的软件便会在“文件列表”区域中全部罗列出来。如图7所示：

图 7

　　通过拉动“文件列表”右侧的“滚动条”可 以发现原来有那么多自动运行的文件。这其中多数的文件是正常的文件，多数正常的文件又是含有数字签名的。这里要说明一下，文件的数字签名可以看成是文件的 身份证号，通过验证数字签名可以判断当前文件的合法性。只要设置一下Autoruns，Autoruns会根据文件的数字签名提示我们当前文件是否已经通 过验证，从而帮助我们对正常文件的识别。但是对于未通过数字签名验证的文件，可能是正常的文件，也可能是木马文件，这就需要我们自己来判断了！
　　鼠标点击菜单“Option（选项）”，再点击“Verify Code Signatures（验证数字签名）” （如图8所示）这样就打开了Autoruns的数字签名验证功能。

图 8

　　鼠标点击菜单“File（文档）”，再点击“Refresh（刷新）”项重新加载“文件列表”后，文件的验证信息才会显示出来（如图9所示）。
　　（Verified）表示验证通过；
　　（Not verified）表示未验证通过；

图 9

　　打开数字验证功能后，细心的你会发现多数的文件都是通过验证的。那我们可不可以将部份通过验证的文件从“文件列表”中隐藏掉呢？回答当然是肯定的。鼠标点击菜单“Options（选项）”，再点击“Hide Signed Microsoft Entries（隐藏微软的数字签名文件）”，其操作如图10所示。

图 10

　　鼠标点击菜单“File（文档）”，再点击“Refresh（刷新）”项重新加载“文件列表”后（操作如图9所示），“文件列表”中的内容是不是少了很多呢？
　　接下来看一下“文件列表”中都提供了哪些文件信息给我们？我们又可以如何操作呢？

图 11

　　见图11，首先选中“文件列表”中的某一项。图中蓝色方框内依次列出当前选择文件的名称（daemon.exe）、文件大小（Size：80K）、文件描述（Virual DAEMON Manager）、文件建立时间（2004-8-22）、文件的厂商（DAEMON’s HOME）、版本号（Version:3.47.00）。请注意，并不是所有的文件都会列出以上全部六项。
　　见图11，棕色框中的内容显示了当前选中项的文件所在硬盘中的位置；
　　见图11，紫色框中的内容显示了当前文件是否通过了数字签名验证（请见前面的描述）；
　　见图11，红色框的位置可以用鼠标进行点击，当打上钩时表示当前选中的文件会自动运行，如果不允许当前文件自动运行，只要在红框处用鼠标点击一下去掉钩，那此文件就不会再自动运行了。
　　见图11，绿色框中是滚动条，通过用鼠标拖动滚动条可以看到更多的内容。
　　如果你又想取消某一个文件的自动运行，又想将这个文件从你的电脑中删除，只需要在“文件列表”中用鼠标点击你想操作的那一项，再用鼠标点击菜单“Entry（项目）”，点击“Delete（删除）”，如图12所示：

图 12

　　软件会弹出一个对话框，问你是否确定要删除此文件？鼠标点击“Yes（是）”后马上删除所选文件；鼠标点击“No（否）”将会取消删除文件的操作。如图13所示：

图 13

　　做完所有的操作后，只要将软件关闭就可以了。至此为止，Autoruns的基本功能你是否都了解了？