Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware

Cei mai mulți geeks au instrumentul lor de alegere pentru a face față proceselor care pornesc automat, fie că este vorba de MS Config, CCleaner sau chiar Task Manager în Windows 8 - dar niciuna dintre ele nu este la fel de puternică ca Autoruns, care este de asemenea lecția școlii Geek pentru astăzi.

1. Care sunt instrumentele SysInternals și cum le folosiți?
2. Înțelegerea Process Explorer
3. Utilizând Process Explorer pentru depanarea și diagnosticarea
4. Înțelegerea procesului de monitorizare
5. Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru
6. Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware
7. Folosind BgInfo pentru a afișa informații despre sistem pe desktop
8. Utilizarea PsTools pentru a controla alte PC-uri de la linia de comandă
9. Analizați și gestionați fișierele, folderele și driverele
10. Înfășurarea și utilizarea împreună a uneltelor

În vechile zile, software-ul ar porni automat prin adăugarea unei intrări în folderul Startup din meniul Start sau prin adăugarea unei valori în cheia Run din registru, dar pe măsură ce oamenii și software-ul au devenit mai pricepuți în a găsi intrări nedorite și a le șterge , factorii de decizie ai software-ului discutabil au început să găsească modalități de a obține tot mai mulți bani.

Aceste companii umbrite de crapware au început să-și imagineze cum să-și încarce automat software-ul prin obiecte, servicii, drivere, sarcini programate și chiar prin anumite tehnici extrem de avansate cum ar fi hijacks și AppInit_dlls.

Verificarea manuală a fiecăreia dintre aceste condiții nu ar fi numai consumatoare de timp, dar aproape imposibil de făcut pentru persoana obișnuită.

Aici intră Autoruns și salvează ziua. Sigur, puteți utiliza Process Explorer pentru a vizualiza lista de procese și pentru a vă arunca adânc în fire și mânere, iar Process Monitor poate afla exact ce chei de registry sunt deschise prin care proces și vă arată cantități incredibile de informații. Însă nici una nu oprește încărcarea din nou a software-urilor sau a malware-ului la următoarea pornire a PC-ului.

Desigur, o strategie inteligentă ar fi să folosim împreună toate cele trei. Process Explorer vede ce rulează în prezent și utilizează CPU-ul și memoria, Process Monitor vede ce face aplicația sub capotă și apoi Autoruns vine pentru a curăța lucrurile astfel încât să nu se întoarcă.

Autoruns vă permite să vedeți aproape fiecare lucru încărcat automat pe computer și să îl dezactivați la fel de ușor ca și faceți clic pe o casetă de selectare. Este incredibil de ușor de utilizat și aproape auto-explicativă, cu excepția câtorva dintre lucrurile cu adevărat complicate pe care trebuie să le știi pentru a înțelege ce înseamnă unele file. Asta va învăța această lecție.

Lucrul cu interfața Autoruns

Puteti apuca instrumentul Autoruns de pe site-ul SysInternals la fel ca restul si il rulati fara instalare. Veți dori să faceți asta înainte de a continua.

Notă: Autoruns nu are nevoie de funcția de administrator, dar, în mod realist, este foarte important să faceți acest lucru, deoarece există câteva caracteristici care nu vor funcționa la fel de bine și există o șansă bună ca și malware-ul dvs. să funcționeze ca administrator.

Când lansați pentru prima dată interfața, veți vedea o mulțime de file și o listă de lucruri care sunt pornite automat pe computer. Fila implicită Totul afișează totul de la fiecare filă, dar poate fi puțin confuză și lungă, așadar vă recomandăm să treceți prin fiecare filă separat.

Merită remarcat faptul că, în mod implicit, Autoruns ascunde tot ce este construit în Windows și este setat să pornească automat. Puteți activa afișarea acestor elemente în opțiuni, dar nu le recomandăm.

Dezactivarea elementelor

Pentru a dezactiva orice element din listă, puteți să eliminați caseta de selectare. Asta e tot ce trebuie să faceți, treceți prin listă și eliminați tot ce nu aveți nevoie, reporniți computerul și apoi rulați-l din nou pentru a vă asigura că totul este bun.

Notă: un anumit program malware va monitoriza constant locațiile în care declanșează autostartul și va pune imediat valoarea înapoi. Puteți utiliza tasta F5 pentru a reîncărca și a vedea dacă oricare dintre înregistrări a revenit după dezactivarea acestora. Dacă unul dintre ele a apărut din nou, ar trebui să utilizați Process Explorer pentru a suspenda sau a ucide acest program malware înainte de ao dezactiva aici.

Culorile

Ca majoritatea instrumentelor SysInternals, elementele din listă pot fi diferite culori, și aici este ceea ce înseamnă:

• Roz - aceasta înseamnă că nu au fost găsite informații despre editor sau dacă este activată verificarea codului înseamnă că semnătura digitală nu există sau nu se potrivește sau nu există informații despre editor.
• Verde - această culoare este utilizată atunci când se compară cu un set anterior de date Autoruns pentru a indica un element care nu era acolo ultima dată.
• Galben - intrarea de pornire este acolo, dar fișierul sau postul pe care îl indică nu mai există.

De asemenea, la fel ca majoritatea instrumentelor SysInternals, puteți să faceți clic dreapta pe orice intrare și să efectuați o serie de acțiuni, inclusiv săriți la intrare sau imagine (fișierul real din Explorer). Puteți căuta online numele procesului sau datele din coloană, consultați proprietățile detaliate sau vedeți dacă intrarea se execută efectuând o căutare rapidă prin Process Explorer - deși multe procese au un încărcător care lansează apoi altceva înainte ieșind, așa că doar pentru că acea caracteristică nu prezintă rezultate nu înseamnă nimic.

Dacă ați făcut clic pe Salt la intrare, veți fi duși direct în Editorul de registri, unde puteți vedea acea cheie de registry specială și aruncați o privire în jur. În cazul în care intrarea a fost altceva, s-ar putea să fiți dus la o altă utilitate, cum ar fi Task Scheduler. Realitatea este că, de cele mai multe ori, Autoruns afișează toate aceleași informații chiar în interfață, de aceea, de obicei, nu trebuie să te deranjezi dacă nu vrei să afli mai multe.

Meniul Utilizator vă permite să analizați un alt cont de utilizator, care poate fi foarte util dacă ați încărcat Autoruns pe un cont diferit pe același computer. Merită remarcat faptul că în mod evident trebuie să fiți administratorul ca să vedeți alte conturi de utilizator pe PC.

Verificarea semnăturilor de cod

Elementul de meniu Opțiuni filtru vă duce la un panou de opțiuni unde puteți selecta o opțiune foarte utilă: Verificați semnăturile de cod. Acest lucru va verifica pentru a vă asigura că fiecare semnătură digitală este analizată și verificată și afișați rezultatele chiar în fereastră. Veți observa că toate elementele în roz în imaginea de mai jos nu sunt verificate sau informațiile despre editor nu există.

Și pentru un credit suplimentar, s-ar putea să observați că această captură de ecran de mai jos este aproape aceeași cu cea de la început, cu excepția cazului în care unele dintre elementele din listă nu sunt marcate ca roz. Diferența este că, în mod prestabilit, fără ca opțiunea Verify Code Signatures să fie activată, Autoruns vă va avertiza doar cu rândul roz dacă nu există informații despre editor.

Analizați un sistem offline (ca și în cazul conectării unui hard disk la alt PC)

Imaginați-vă că computerul prietenului dvs. este complet dezordonat și fie nu va boot, fie doar cizme atât de încet, încât nu-l puteți folosi cu adevărat. Ați încercat modul de siguranță și opțiunile de recuperare, cum ar fi System Restore, dar nu contează pentru că este inutilizabil.

Mai degrabă decât să trageți cartela "reinstalare", care este adesea doar cardul "I give up", puteți scoate hard disk-ul și conectați-l la computer sau la laptop cu dispozitivul de andocare USB portabil. Ai unul, nu? Apoi, încărcați doar Autoruns și mergeți la File -> Analyze Offline System.

Răsfoiți pentru a găsi directorul Windows de pe celălalt hard disk și profilul de utilizator al utilizatorului pe care încercați să-l diagnosticați și faceți clic pe OK pentru a începe.

Veți avea nevoie de acces de scriere la unitate, desigur, pentru că veți dori să salvați setările pentru a elimina orice prostie pe care ați ajuns să o găsiți.

Comparând cu un alt PC (sau cu Instalare Clean Clean anterior)

Opțiunea Fișier -> Comparare pare nesemnificativă, dar poate fi una dintre cele mai puternice metode de a analiza un PC și de a vedea ce a fost adăugat de la ultima scanare sau de a compara cu un PC curat cunoscut.

Pentru a utiliza această funcție, trebuie doar să încărcați Autoruns pe PC-ul pe care încercați să îl inspectați sau să utilizați modul offline descris mai devreme, apoi mergeți la File -> Compare. Tot ce a fost adăugat de la versiunea de fișier comparată va apărea în verde strălucitor. Este la fel de simplu ca asta. Pentru a salva o nouă versiune, utilizați opțiunea Fișier -> Salvare.

Dacă chiar vrei să fii pro, ai putea salva o configurație curată dintr-o instalare nouă a Windows și ai pus-o pe o unitate flash pe care să o iei cu tine. Salvați o nouă versiune de fiecare dată când atingeți un PC pentru prima dată pentru a vă asigura că puteți identifica rapid toate programele noi pe care le-a adăugat proprietarul.

Privind la filele

După cum ați văzut până acum, Autoruns este o utilitate foarte simplă, dar puternică, care probabil ar putea fi folosită de aproape oricine. Adică, tot ce trebuie să faceți este să debifați o cutie, nu? Cu toate acestea, este util să aveți mai multe informații despre ceea ce înseamnă toate aceste file, așa că vom încerca să vă educăm aici.

Pagina următoare: Logare, activități programate și exploatare imagine