Autoruns.exe的使用
下载地址
https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns
作用
察看当前主机上的自动启动项。
使用场景
当需要察看当前主机上有哪些程序会自启动时,或者察看某个样本会不会添加自启动时。
字段及功能介绍
需要使用该软件时只需双击运行即可,初始界面如图:
字段信息介绍
自启项分类
何为一条自启项
自启实现的方法与位置,例如该项为自启文件夹时,说明其是依靠在自启文件夹下实现自启的。又比如该项为Task Scheduler时,说明其是通过设置定时任务实现自启的。
自启项文件名
对该自启项的描述
出版商描述及签名验证
自启文件的绝对路径
时间戳
VT报毒情况,例如0/72,解释为72家病毒厂商中有0家对其报毒。
以上是对初始化信息栏的讲解,下面对关键功能进行介绍。
功能介绍
File按钮
打开:打开之前保存的后缀为arn的自启信息文件。
保存:将当前的自启信息保存为arn文件
对比:将现有的自启信息与之前保存的含有自启信息的arn文件进行对比,以发现两者的不同之处,常用于样本运行前后的自启信息察看。
刷新:刷新自启信息,重新检查主机上的自启信息。
Entry按钮
删除和复制,删除该条自启项,复制该自启信息。
跳转到自启实现的位置,如:当该自启项是通过注册表启动项实现自启时,点击该项时就会跳转到注册表中实现该自启的项。
跳转到该自启项的实体文件处
验证该自启项实体文件的签名
检查VT报毒情况,未检查之前为Check VT,检查过后为Resubmit VT(意为:重新提交到VT)
使用ProcessExplorer察看该自启项运行情况
在线搜索该自启项的实体文件
该自启项实体文件的属性
Options按钮
隐藏信息,从上到下依次是:
1,隐藏那些可以设置自启但是是空的的位置
2,【Verify Code Signatures】未开启时,隐藏公司名字段包含“微软”字样的自启项
【Verify Code Signatures】开启时,隐藏具有微软签名的自启项
3,【Verify Code Signatures】未开启时,隐藏公司名字段包含“Microsoft”字样的及映像文件位于%windir%目录或子目录中的自启项
【Verify Code Signatures】开启时,隐藏具有Microsoft Windows的自启项
4,隐藏VT没有报毒的自启项
因为程序作者比较容易做到在公司名字段中加上“微软”或者“Microsoft”字段,所以建议时刻开启【Verify Code Signatures】。
扫描选项设置
1,扫描主机上所有用户的自启项
2,验证签名
3,检查VT报毒情况
4,将VT上没有记录的未知文件提交给VT(不建议勾选)
字体设置