Jump to content

Описание на възможностите на AutoRuns


Препоръчан пост

http://pics.softvisia.com/design/pics/4995/herowindowssysinternalslq3.jpg

 

Официална страница: http://www.microsoft.com/technet/sysinternals/

Директен линк за сваляне: AutoRuns

Лиценз: FreeWare

Големина на файла: 500kb (Zip)

 

AutoRuns е мощен инструмент, който ви показва какви програми, услуги, драйвери и компоненти на операционната системи се зареждат всеки път при стартиране или влизане на потребител. Това включва и програмите, конфигурирани да се зареждат чрез папката Startup , Run, RunOnce и други ключове в регистъра. Опцията за скриване на всички компоненти, драйвери, услуги и др. на Microsoft ви предоставя възможност за много по-лесен анализ при търсене на програми / обекти, които не са част от операционната система, но се стартират всеки път. AutoRuns притежава и възможност да проверява приложенията за цифров подпис. Тези възможности са изключително полезни при търсенето на зловреден код (Мalware), който се изпълнява всеки път при стартиране и причинява проблеми или забавя работата на Windows. На края имате възможност да запишете Log-файл, който съдържа информацията от AutoRuns. Този Log-файл е много удобен, когато се съмнявате, че на системата ви има зловреден код, тъй като лесно можете да го изпратите по e-mail или да го прикачите към тема във форум.

 

http://pics.softvisia.com/design/pics/4995/armainzc0.th.png

 

Потребителският интерфейс на AutoRuns се състои от:

 

 

Заглавна лента

 

http://pics.softvisia.com/design/pics/4995/formcaptionve1.png

 

В заглавната лента се инициализира името на компютъра и текущия потребител включен в системата.

 

Меню лента

 

http://pics.softvisia.com/design/pics/4995/menumb5.png

 

Меню лентата съдържа следните елементи:

 

File

 

http://img525.imageshack.us/img525/2297/arfilemenunr4.png

 

Find – Отваря стандартен диалогов прозорец Find, чрез който можете да търсите информация в програмата. Друг вариант е да използвате клавишната комбинация за бърз достъп Ctrl + F.

 

Compare – Чрез тази команда можете да сравнявате текущите резултати с Log-файл записан по-рано. За целта кликвате на File-->Compare и селектирате log-файл на AutoRuns. Сега AutoRuns ще покаже в зелен цвят новите обекти, които не са част от Log-файла.

 

Save – Чрез тaзи командa можете да запишете информацията от AutoRuns, като се използва нейтив файловият формат на AutoRuns. За целта избирате File --> Save и селектирате подходящо за вас местоположение на твърдия диск. Определяте името на файла и кликвате на бутона Save. Този Log-файл е идеално допълнение към Log-файловете от инструментите HiJackThis и ESET SysInspector, които също се използват при борбата срещу зловреден код. Също така можете да използвате и клавиша за бърз достъп Ctrl + S.

 

Load - Тази команда се използва за зареждане на информацията от Log-файл, създаден с командата Save. В диалоговия прозорец "Import AutoRuns data from File...", изберете Log-файла на AutoRuns (файл, с разширение .arn) и натиснете бутона Open. Информацията от Log-файла се зарежда в AutoRuns. Това е полезно, ако например искате да изпратите Log-файла за анализ. Човекът, който ще анализира Log-файла ще може да зареди съдържанието му в Autoruns на неговата система и да го прегледа.

 

Export, Еxport As - С помощта на тази команда (клавишът за бърз достъп е Ctrl + A), можете да запишете резултатите от сканирането с Autoruns в текстов файл (файл с разширение .txt). Това е полезно, ако например искате да копирате резултатите от сканирането с Autoruns в тема във форум.

 

Refresh – Тази команда, както и при повечето Windows приложения се използва за опресняване на екрана. Задължително е след като селектирате опциите от менюто Options да прилагате тази команда, за да има ефект от промените. За бърз достъп можете да използвате клавиша F5.

 

Еxit – Затваря програмата AutoRuns, като запазва промените направени от вас.

 

 

Entry

 

 

Delete – Изтрива запис за автоматично стартиране на програма, услуга, драйвер, компонент и др. За да е активна командата Delete трябва да сте селектирали даден запис в програмата. Друг вариант е да селектирате даден запис и да натиснете бутона Delete или клавишна комбинация Ctrl + D.

 

Внимание: Използвайте командата Delete само за обекти, за които сте сигурни, че никога не искате да бъдат зареждани при стартиране на OS! След като изтриете записа за даден обект, нямате възможност пак да го конфигурирате да се зарежда с OS чрез AutoRuns. Когато изберете да изтриете запис, ще видите прозорец, който ви запитва дали сте сигурни, че желаете да изтриете избрания запис, така че все още имате възможност да откажете, като кликнете на бутона No.

 

Copy – Копира името на избрания запис, описанието (description), производителя и местоположението му на диска. Можете да използвате и клавишната комбинация Ctrl + C.

 

Verify – Проверява конкретен запис за цифров подпис. Селектирате желания запис и избирате Entry-->Verify. Резултата се визуализира в колоната Publisher за дадения запис. Можете да използвате и клавишната комбинация Ctrl + V.

 

Забележка: Когато сте активирали опцията Verify Code Signature от менюто Options, командата Verify става не активна.

 

Jump To - Когато селектирате запис и изберете командата Jump To, AutoRuns стартира редактора Registry Editor (REGEDT32.EXE) и ви отвежда на текущото местоположение на селектирания запис в системния регистър на Windows. Друг вариант да стартирате Registry Editor е да кликнете два пъти върху желания запис.

 

Search Online – Ако се съмнявате в даден запис, селектирайте го и изберете командата Search Online. AutoRuns ще стартира подразбиращия се WEB Browser на вашата система и ще отвори търсачката Google, като в полето за търсене автоматично се попълва името на избрания запис. Това е изключително полезна възможност, когато не сте сигурни какво точно махате и дали то ви е необходимо. Друг начин за използване на тази функция е чрез комбинацията Ctrl + M.

 

Process Explorer – Ако сте селектирали запис и изберете Еntry-->Process Explorer, AutoRuns ще отвори инструмента Process Explorer и ще визуализира на екрана прозореца process_properties. Това е друг начин да получите допълнителна информация за даден запис, като например дали в момента е зареден.

 

Забележка: За да използвате тази функция, трябва да разполагате с инструментa Process Explorer. За да може тази команда да работи коректно е необходимо AutoRuns и Process Explorer да се намират в една директория на твърдия диск.

 

Properties – Визуализира стандартния прозорец Properties за избрания запис. Това е още един начин да получите повече информация за избрания обект. Можете да използвате и комбинацията Alt + Enter.

 

 

Оptions

 

 

Include Empty Locations - При активиране на тази опция, AutoRuns ще показва и празните местоположения в системния регистър. В общия случай няма полза от активирането на тази опция, защото значително се увеличава количеството информация визуализирано на екрана, което може да направи анализирането на информацията по-трудно.

 

Verify Code Signatures – Проверява всички записи за цифров подпис. Цифровия подпис помага при идентифицирането на зловреден код. Разбира се не винаги, когато даден запис няма цифров подпис това означава, че той е зловреден. AutoRuns ще визуализира съобщението "(Not verified)" до името на производителя за тези записи, които нямат цифров подпис или подписа им не е от достоверен източник

 

Hide Signed Microsoft Entries – Скрива всички записи, които са част от Windows и притежават подпис от Microsoft. Сега AutoRuns визуализира само записи, добавени от трети приложения като антивирусни, съсредоточени програми за борба със spyware/adware, дефрагментатори и др. Препоръчително е винаги да селектирате тази опция, защото прави изследването на информацията и Log-файловете значително по-лесно.

След като селектирате тази опция и/или тези по-горе от менюто Options е необходимо да опресните екрана чрез командата Refresh (F5).

 

Font – Отваря стандартния прозорец за избор на шрифт, стил и големина. Направете желаните промени и кликнете на бутона OK.

 

 

User

 

Това меню съдържа списък на текущите потребители. Можете да го използвате, за да превключвате между тях в програмата.

 

Help

 

Help – Отваря Help файла на AutoRuns. В него можете да намерите всякаква информация за инструмента.

 

About – Визуализира информация за авторите на програмата и текущата версия.

 

 

Лента с бутони (инструменти)

 

http://pics.softvisia.com/design/pics/4995/cmdlinemz0.png

 

http://pics.softvisia.com/design/pics/4995/cmdsavefc9.png (Save) – Запазва текстов Log-файл, аналогично на командите от менюто File.

 

http://pics.softvisia.com/design/pics/4995/cmdrefreshjk6.png (Refresh) – Опреснява екрана. Аналогично на командата от менюто File или натискането на клавиша F5.

 

http://pics.softvisia.com/design/pics/4995/cmdfindec5.png (Find) – Визуализира прозореца Find, за търсене в програмата.

 

http://pics.softvisia.com/design/pics/4995/cmdpropertiesju3.png (Properties) – Отваря прозореца Properties за избрания запис.

 

http://pics.softvisia.com/design/pics/4995/cmddeleterb0.png (Delete) – Изтрива селектирания запис.

 

http://pics.softvisia.com/design/pics/4995/cmdjumpai4.png (Jump to) - Стартира редактора Registry Editor (REGEDT32.EXE) и ви отвежда на текущото местоположение на селектирания запис в системния регистър на Windows.

 

 

Етикети (Табове)

 

http://pics.softvisia.com/design/pics/4995/tabsya9.png

 

Evereything – Визуализира всички записи. За да конфигурирате дадено приложение да не се зарежда при стартиране, махнете отметката пред него. Винаги можете пак да го конфигурирате да се зарежда при стартиране, като поставите отметка в полето за отметка. Ако сте сигурни, че даден обект не ви трябва да се зарежда, можете след като махнете отметката да го изтриете, чрез клавиша Delete.

 

Logon - Показват се резултатите от сканирането на стандартни местоположения за автоматично стартиране, като Startup папката, RUN ключовете в регистъра и други.

 

Explorer – Тук се намират Shell разширенията на Explorer, обекти, помощни обекти (Browser Helper Objects), туулбарове (toolbars) и други.

 

Internet Explorer – Визуализират се разширения (extensions), туулбарове (toolbars) и помощни обекти за Internet Explorer.

 

Scheduled Tasks – Задачи за изпълнение, конфигурирани чрез Task Scheduler при стартиране или влизане на потребител в системата.

 

Services - Услугите, които се стартират автоматично. Повече информация за услугите можете да получите, като отворите Start-->Run и напишете “services.msc”.

 

Drivers - Драйверите инсталирани на системата, които се зареждат автоматично. Тук можете да видите, както драйвери за устройства, така и драйвери, които се използват от програми, за да могат да работят.

 

Boot Execute - Визуализират се записи, които се стартират по-рано при зареждането на операционната система.

 

Image Hijacks - Приложения, които са „отвлечени” и се зареждат при стартиране на операционната система.

Например, ако конфигурирате Process Explorer да се стартира, вместо Task Manager тук ще се появи taskmgr.exe, но пътя ще сочи към папката на Process Explorer.

 

AppInit DLLs – Визуализират се библиотеки за динамично свързване (DLLs), които се използват за инициализиране на приложения.

 

Known DLLs - Тук се намират библиотеките за динамично свързване, които Windows зарежда в приложенията при стартиране.

 

Winlogon Notifications – Показва библиотеки за динамично свързване, които са регистрирани за WinLogon известяване за събития при влизане.

 

Winsock Providers - Показва Winsock протоколите, които се зареждат на системата. Случва се зловреден код да се инсталира, като Winsock service provider, защото трудно се премахват и има малко инструменти за целта.

 

LSA Providers - Показват се библиотеките за динамично свързване, които поддържат Local Security Authority (LSA) автентичноста.

 

Print Monitors - Визуализират се библиотеките за динамично свързване, които се използват от Print Spooler услугата. Print Spooler услугата, поддържа печатните възможности при Windows XP.

 

Network Providers – Визуализират се библиотеките за динамично свързване, използвани за поддръжка на мрежови възможности.

 

 

System Configuration Utility vs Autoruns

 

http://pics.softvisia.com/design/pics/4995/msconfigmainwu9.png

 

За управление на приложенията, които се зареждат при стартиране на операционната система се предлага инструмента System Configuration Utility.

Можете да стартирате System Configuration Utility, като отворите Start-->Run и напишете “msconfig”. Последните два етикета Services и Startup предлагат контрол върху стартиращите се автоматично услуги и програми.

 

http://pics.softvisia.com/design/pics/4995/msconfgservicesxm3.png

 

System Configuration Utility ви показва името на услугата, производителя и нейния статус. Имате възможност да де активирате услуга, като премахнете отметката пред нея и кликнете на бутона Apply. Имате възможност, чрез бутоните Enable All/ Disable All съответно да разрешените всички или да забраните всички услуги. Чрез опцията Hide All Microsoft Service имате възможност да скриете всички услуги на Microsoft и да останат само тези прибавени от други приложения. За разлика от AutoRuns тук няма информация за местоположението на дадена услуга, няма информация за това каква работа върши, както и възможност за бърза проверка в интернет. Няма възможност и за проверка на подписа.

 

http://pics.softvisia.com/design/pics/4995/msconfigstartupfj8.png

 

Страницата Startup изглежда аналогично на Services с тази разлика, че показва само приложенията, които се зареждат при стартиране на Windows. Имате възможност да премахнете тези, които не ви трябват, като махнете отметката пред тях и кликнете на бутона Apply. Чрез бутоните Enable All/Disable All можете да де активирате всички или да активирате всичките изброени приложения. Получавате информация за името на обекта, местоположението му на твърдия диск, както и местоположението му в регистъра на Windows. Това са възможностите на инструмента, вграден в Windows за управление на стартиращите се приложения и услуги. Тук нямате възможност да скриете обекти, които са част от Windows. Не получавате и описание на обектите. Също така нямате възможност за проверка на подпис, бърза проверка в интернет или записване на текстов Log-файл.

 

Автор: Лазар Канелов (l.kanelov)

Всички авторски права върху съдържанието на статията и снимковия материал са запазени. Забранено е разпространяването и/или модифицирането на статията или части от нея без изричното съгласие на автора. Всички ©, ® и ™ са собственост на притежаващите ги фирми.

Link to comment
Сподели другаде

  • 6 months later...

23.05.2008 - Темата е обновена!

 

Излезна версия 9.2 на AutoRuns, която се различава съществено от останалите по това, че предоставя по-добра поддръжка за съвместна помощ по отстраняване на проблеми. Вече разполагате с възможност да изнасяте и внасяте информация в Autoruns от Log-файлове. Поддържа се е и стария вариант за Log-файлове в текстов формат. Също така в тази версия са поправени проблеми при работата на инструмента под управлението на 64-битови операционни системи Windows.

 

Обновяването на темата се наложи, защото реализацията на внасянето / изнасянето на информация от Log-файлове е свързана и с промяна на меню обекти в програмата и вече менюто File изглежда малко по-различно (добавени са нови команди).

Link to comment
Сподели другаде

  • 3 years later...
Здравейте, искам да попитам за следните неща. Излизат ми ето тези червени ленти, може ли някой да ми каже, какво точно показват. Също така тези на които пише file not found, ако се изтрият ще има ли някакъв проблем ? Прикачам скрийн и лог. :)

post-1180-0-46134900-1327508275_thumb.png

AutoRuns.rar

Link to comment
Сподели другаде

Здравейте, искам да попитам за следните неща. Излизат ми ето тези червени ленти, може ли някой да ми каже, какво точно показват. Също така тези на които пише file not found, ако се изтрият ще има ли някакъв проблем ? Прикачам скрийн и лог. :)

Червените линии показват неизвестни за програмата файлове без информация за Publisher или за какво служи файлът. Тези линии дават акцент върху конкретно тези файлове, понеже в някои случаи подобен тип неизвестни файлове, без никаква информация относно публикувалият ги и т.н може да са част от вирус, например. В случая като цяло на бегъл поглед и няколко проверки не виждам нищо притеснително, програмата просто отбелязва непознатите за нея файлове, без информация за самите тях. Не е задължително те да са вируси, просто си поставя акцент, а ти от там нататък остава нещата на теб.

Неоткритите файлове може би са поради неправилна деинсталация на VMWare виртуалната машина или нещо подобно, не знам точният сценарий, но като цяло изглежда, че са свързани с VMWare виртуалната машина, която имаш или си имал на компютъра си.

Това го казвам по картинката, не съм теглил архива с лога.

Link to comment
Сподели другаде

Тествай, няма да навреди ако махнеш отметките пред тези, които са File not found.

Не е задължително да ги триеш. Наблюдавай дали пак ще се появят от самосебе си отметки там, където си ги махнал.

Link to comment
Сподели другаде

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...