介绍一款微软旗下开发的强大的系统工具Autoruns,用于管理和监控Windows操作系统启动时自动运行的程序、服务、驱动程序和其他组件。它提供了全面的启动项管理功能,帮助用户识别和控制系统启动过程中的各种自动运行项。下面是对Autoruns及Autorunsc工具的详细介绍:
-
下载Autoruns
-
首先访问Microsoft官方网站的Sysinternals页面:https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns
-
在页面中找到最新版本的Autoruns,并点击下载链接获取压缩包。
-
解压文件
-
下载完成后,解压Autoruns.zip压缩包。在压缩包中会包含以下文件:
-
autoruns.exe:Autoruns的可执行文件。
-
Autorunsc.exe: 是 Autoruns 的命令行版本
-
运行Autoruns
-
双击autoruns.exe来启动Autoruns工具,无需安装。启动后,它就会显示当前配置的自动启动应用程序,以及可用于自动启动配置的注册表和文件系统位置的完整列表。Autoruns 显示的自动启动位置包括登录项、Explorer 加载项、Internet Explorer 加载项(包括浏览器帮助对象 (BHO))、Appinit DLL、映像劫持、启动执行映像、Winlogon 通知 DLL、Windows 服务和 Winsock 分层服务提供商、媒体编解码器等。切换选项卡以查看不同类别的自动启动。
-
使用Autoruns
-
查看自动运行项:在主窗口中,Autoruns列出了系统启动时自动运行的程序、服务、驱动程序和其他组件。您可以通过不同的选项卡(如"Logon"、"Services"、"Drivers"等)来查看特定类型的自动运行项。
-
禁用自动运行项:通过取消选中自动运行项前面的复选框,可以禁用特定的自动运行项。禁用后,该项将不会在系统启动时自动运行。
-
删除自动运行项:通过右键单击自动运行项,选择"Delete"来删除特定的自动运行项。删除后,该项将从系统的自动运行列表中移除。
-
查看注册表属性等信息:右键选择Jump to Entry,将自动跳转至注册表对应位置,选择Jump to Image,将自动调整至文件对应存储位置,Properties查看文件属性,本文以360壁纸中360huabao为例进行展示
-
导出和保存结果:您可以使用"File"菜单中的"Save"选项将当前的Autoruns结果保存为文件,以便将来查看或与他人共享。
-
![Autoruns工具介绍]( "Autoruns工具介绍")
-
![Autoruns工具介绍]( "Autoruns工具介绍")
-
搜索和过滤功能:Autoruns提供了搜索和过滤功能,以便快速定位特定的自动运行项。您可以使用搜索框来输入关键词,并使用过滤选项来筛选结果。
5.Autorunsc
Autorunsc 是 Autoruns 的命令行版本。其使用情况语法为:
使用情况:autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]
在命令提示符或PowerShell窗口中,导航到解压缩的目录。例如,到解压缩路径"D:迅雷下载Autoruns"目录下,执行命令进行查看
| 参数 | 说明 |
|---|---|
| -a | 自动启动项选择: |
| * | 全部。 |
| b | 启动执行。 |
| d | Appinit DLL。 |
| e | Explorer 加载项。 |
| g | 边栏小工具(Vista 和更高) |
| h | 映像劫持。 |
| i | Internet Explorer 加载项。 |
| k | 已知 DLL。 |
| l | 登录启动(这是默认设置)。 |
| m | WMI 项。 |
| n | Winsock 协议和网络提供商。 |
| o | 编解码器。 |
| p | 打印机监视器 DLL。 |
| r | LSA 安全提供程序。 |
| s | 自动启动服务和非禁用驱动程序。 |
| t | 计划的任务。 |
| w | Winlogon 项。 |
| -c | 将输出打印为 CSV。 |
| -ct | 将输出打印为制表符分隔值。 |
| -h | 显示文件哈希。 |
| -m | 隐藏 Microsoft 项(如果与 -v 一起使用,则为已签名项)。 |
| -s | 验证数字签名。 |
| -t | 以标准化 UTC (YYYYMMDD-hhmmss) 显示时间戳。 |
| -u | 如果启用了 VirusTotal 检查,则显示 VirusTotal 未知或具有非零检测的文件,否则仅显示未签名的文件。 |
| -x | 将输出打印为 XML。 |
| -v[rs] | 基于文件哈希查询恶意软件的 VirusTotal。添加“r”,打开具有非零检测的文件的报表。如果指定了“s”选项,会将报告为“以前未扫描”的文件上传到 VirusTotal。请注意,扫描结果可能在 5 分钟或更长时间内不可用。 |
| -vt | 在使用 VirusTotal 功能之前,必须接受 VirusTotal 服务条款。如果尚未接受条款,并且忽略了此选项,系统会以交互方式提示你。 |
| -z | 指定要扫描的脱机 Windows 系统。 |
| user | 指定将显示其自动运行项目的用户帐户名称。指定“*”以扫描所有用户配置文件。 |
原文始发于微信公众号(网络个人修炼):Autoruns工具介绍
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论