Autoruns工具介绍

admin 2024年6月11日14:27:41评论12 views字数 1972阅读6分34秒阅读模式

介绍一款微软旗下开发的强大的系统工具Autoruns,用于管理和监控Windows操作系统启动时自动运行的程序、服务、驱动程序和其他组件。它提供了全面的启动项管理功能,帮助用户识别和控制系统启动过程中的各种自动运行项。下面是对Autoruns及Autorunsc工具的详细介绍:

  1. 下载Autoruns

  • 首先访问Microsoft官方网站的Sysinternals页面:https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns

  • 在页面中找到最新版本的Autoruns,并点击下载链接获取压缩包。

Autoruns工具介绍

  1. 解压文件

  • 下载完成后,解压Autoruns.zip压缩包。在压缩包中会包含以下文件:

    • autoruns.exe:Autoruns的可执行文件。

    • Autorunsc.exe: 是 Autoruns 的命令行版本

Autoruns工具介绍

  1. 运行Autoruns

  • 双击autoruns.exe来启动Autoruns工具,无需安装。启动后,它就会显示当前配置的自动启动应用程序,以及可用于自动启动配置的注册表和文件系统位置的完整列表。Autoruns  显示的自动启动位置包括登录项、Explorer 加载项、Internet Explorer 加载项(包括浏览器帮助对象  (BHO))、Appinit DLL、映像劫持、启动执行映像、Winlogon 通知 DLL、Windows 服务和 Winsock  分层服务提供商、媒体编解码器等。切换选项卡以查看不同类别的自动启动。

Autoruns工具介绍

  1. 使用Autoruns

  • 查看自动运行项:在主窗口中,Autoruns列出了系统启动时自动运行的程序、服务、驱动程序和其他组件。您可以通过不同的选项卡(如"Logon"、"Services"、"Drivers"等)来查看特定类型的自动运行项。

  • 禁用自动运行项:通过取消选中自动运行项前面的复选框,可以禁用特定的自动运行项。禁用后,该项将不会在系统启动时自动运行。

  • 删除自动运行项:通过右键单击自动运行项,选择"Delete"来删除特定的自动运行项。删除后,该项将从系统的自动运行列表中移除。

Autoruns工具介绍

  • 查看注册表属性等信息:右键选择Jump to Entry,将自动跳转至注册表对应位置,选择Jump to Image,将自动调整至文件对应存储位置,Properties查看文件属性,本文以360壁纸中360huabao为例进行展示

Autoruns工具介绍

  • 导出和保存结果:您可以使用"File"菜单中的"Save"选项将当前的Autoruns结果保存为文件,以便将来查看或与他人共享。

  • Autoruns工具介绍

  • Autoruns工具介绍

  • 搜索和过滤功能:Autoruns提供了搜索和过滤功能,以便快速定位特定的自动运行项。您可以使用搜索框来输入关键词,并使用过滤选项来筛选结果。

Autoruns工具介绍

      5.Autorunsc

Autorunsc 是 Autoruns 的命令行版本。其使用情况语法为:

使用情况:autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]

在命令提示符或PowerShell窗口中,导航到解压缩的目录。例如,到解压缩路径"D:迅雷下载Autoruns"目录下,执行命令进行查看

参数 说明
-a 自动启动项选择:
* 全部。
b 启动执行。
d Appinit DLL。
e Explorer 加载项。
g 边栏小工具(Vista 和更高)
h 映像劫持。
i Internet Explorer 加载项。
k 已知 DLL。
l 登录启动(这是默认设置)。
m WMI 项。
n Winsock 协议和网络提供商。
o 编解码器。
p 打印机监视器 DLL。
r LSA 安全提供程序。
s 自动启动服务和非禁用驱动程序。
t 计划的任务。
w Winlogon 项。
-c 将输出打印为 CSV。
-ct 将输出打印为制表符分隔值。
-h 显示文件哈希。
-m 隐藏 Microsoft 项(如果与 -v 一起使用,则为已签名项)。
-s 验证数字签名。
-t 以标准化 UTC (YYYYMMDD-hhmmss) 显示时间戳。
-u 如果启用了 VirusTotal 检查,则显示 VirusTotal 未知或具有非零检测的文件,否则仅显示未签名的文件。
-x 将输出打印为 XML。
-v[rs] 基于文件哈希查询恶意软件的 VirusTotal。添加“r”,打开具有非零检测的文件的报表。如果指定了“s”选项,会将报告为“以前未扫描”的文件上传到 VirusTotal。请注意,扫描结果可能在 5 分钟或更长时间内不可用。
-vt 在使用 VirusTotal 功能之前,必须接受 VirusTotal 服务条款。如果尚未接受条款,并且忽略了此选项,系统会以交互方式提示你。
-z 指定要扫描的脱机 Windows 系统。
user 指定将显示其自动运行项目的用户帐户名称。指定“*”以扫描所有用户配置文件。

Autoruns工具介绍

原文始发于微信公众号(网络个人修炼):Autoruns工具介绍

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月11日14:27:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Autoruns工具介绍https://cn-sec.com/archives/2836716.html

发表评论

匿名网友 填写信息