「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》
AutoRuns 是微软提供的一款「启动项管理」工具,可以检查开机自动加载的所有程序,比系统自带的 msconfig.exe 更全。常在应急响应时查找启动项留下的后门。
AutoRuns
- 1、下载安装
- 2、功能使用
- 2.1、界面字段
- 2.2、可疑项目
- 2.3、扫描方式
- 2.4、隐藏启动项
- 3、实战案例
- 3.1、检查Chrome是否自启动
- 3.2、查找木马
- 3.3、比较差异
1、下载安装
1)微软官网下载:
https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns
2)右键解压「免安装」
3)双击 exe 文件即可运行,这里以 Autoruns64.exe 为例。
注意:启动时默认以「标准用户」运行,这可能会导致有些启动项没有权限禁用和删除,推荐「管理员方式」运行。
2、功能使用
2.1、界面字段
1)打开后有19个「界面」
- Everything (所有):从其他18个页面汇总的所有启动项。打钩开启,不打钩取消。
- Logon (登录):用户的启动文件夹、注册表的启动项。
- Explorer (资源管理器):Windows资源管理器在注册表上的值。
- Internet Explorer (IE浏览器):浏览器的帮助程序对象、工具栏和扩展对应的注册表的值。
- Scheduled Tasks (计划任务):和 taskschd.msc 打开的任务计划程序的内容一样。
- Services (服务):HKLM\System\CurrentControlSet\Services注册表对应的开机启动项,常被ROOTKIT病毒植入。
- Drivers (驱动):HKLM\System\CurrentControlSet\Services注册表对应的开机启动的驱动。
- Codecs :媒体播放所需要的编解码器
- Boot Execute (引导执行):系统在引导过程中运行的进程。
- Image Hijacks (镜像劫持):是一个注册表键,允许一个进程劫持另一个可执行文件。
- AppInit (应用初始化):开机时初始化的动态链接库文件。
- Known DLLs (已知DLL):系统中已知的DLL文件。
- Winlogon (Windows登录通知):WINLOGON登陆项对应的注册表子项及值项。
- Winsock Providers (Winsock提供商):恶意软件会伪装成Winsock服务商实现自我安装。
- LSA Providers (本地安全授权): 处理所有安全认证的服务。
每个页面展示的「字段」都是一样的:
- 名称( Autoruns Entry )
- 描述( Description )
- 发行者( Publisher )
- 路径( Image Path )
- 时间戳( Timestamp )
2.2、可疑项目
列表中的项目,可以根据「颜色」来区分是否可疑:
- 黄色:没有文件路径,在预期位置找不到文件路径。
- 粉色:可疑项目,没有(签名)发行者或描述,not verified。
- 紫色:该项目的位置或路径。
- 绿色:上次扫描后新增的项目。
勾选表示开机自启动,取消勾选表示取消开机自启动,可疑项目也可以右键删除。
注意:勾选可以取消,但删除「无法回滚」,会永久删除,删除系统启动项可能会导致系统不稳定或崩溃。
右键的其他选项:
- Jump to Emtry :打开启动项的「位置」。
- Jump to Image :打开新窗口,并选中目标「文件」。
- Process Explorer :调用 Process Explorer 来显示该进程的属性。
- Search Online :使用默认浏览器搜索。
- Properties :显示「文件属性」。
2.3、扫描方式
扫描设置中,可以选择识别方式:
识别方式可以选择检查「文件签名」,或者用「VT检查」:
- 「文件签名」:签名证书有效,并且证书由Windows信任的机构颁发显示 Verified;未签名或验证失败显示 Not verified。
- 「VT检查」:将可疑文件上传到 VirusTotal 平台分析,恶意文件会标红。
2.4、隐藏启动项
Autoruns默认隐藏Windows自身的启动项,我们可以手动开启,或者把 Microsoft 启动项也隐藏。
通常情况下,Windows 和 Microsoft 启动项是必要且安全的。
3、实战案例
3.1、检查Chrome是否自启动
- 在上方的搜索栏(Quick Filter)输入程序名Chrome
- 查看是否勾选(勾选=自启动)不想自启动就取消勾选。
- 最下面可以显示程序的位置和启动参数。右键Jump to Image可以打开文件位置。
3.2、查找木马
1)木马程序通常没有数字签名,描述(Description)和发行者(Publisher)字段为空的项。比如:这个7-Zip就没有数字签名,很可疑。
2)可疑项,右键 Search Online 用默认浏览器搜索,或者手动搜索物理路径对应的文件名。能搜到说明正常;搜不到就很可疑,因为病毒的名字通常是随便起一个。
3)也可以从物理路径中将文件复制出来用杀软或沙箱扫描,确认恶意后删除文件。
3.3、比较差异
- file-save 保存为文件
- file-Compare 与另一个已经保存的文件比较差异,不同的启动项用绿色标记出来。