「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

AutoRuns 是微软提供的一款「启动项管理」工具，可以检查开机自动加载的所有程序，比系统自带的 msconfig.exe 更全。常在应急响应时查找启动项留下的后门。

1、下载安装

1）微软官网下载：
https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns

2）右键解压「免安装」

3）双击 exe 文件即可运行，这里以 Autoruns64.exe 为例。

注意：启动时默认以「标准用户」运行，这可能会导致有些启动项没有权限禁用和删除，推荐「管理员方式」运行。

2、功能使用

2.1、界面字段

1）打开后有19个「界面」

• Everything （所有）：从其他18个页面汇总的所有启动项。打钩开启，不打钩取消。
• Logon （登录）：用户的启动文件夹、注册表的启动项。
• Explorer （资源管理器）：Windows资源管理器在注册表上的值。
• Internet Explorer （IE浏览器）：浏览器的帮助程序对象、工具栏和扩展对应的注册表的值。
• Scheduled Tasks （计划任务）：和 taskschd.msc 打开的任务计划程序的内容一样。
• Services （服务）：HKLM\System\CurrentControlSet\Services注册表对应的开机启动项，常被ROOTKIT病毒植入。
• Drivers （驱动）：HKLM\System\CurrentControlSet\Services注册表对应的开机启动的驱动。
• Codecs ：媒体播放所需要的编解码器
• Boot Execute （引导执行）：系统在引导过程中运行的进程。
• Image Hijacks （镜像劫持）：是一个注册表键，允许一个进程劫持另一个可执行文件。
• AppInit （应用初始化）：开机时初始化的动态链接库文件。
• Known DLLs （已知DLL）：系统中已知的DLL文件。
• Winlogon （Windows登录通知）：WINLOGON登陆项对应的注册表子项及值项。
• Winsock Providers （Winsock提供商）：恶意软件会伪装成Winsock服务商实现自我安装。
  - LSA Providers （本地安全授权）： 处理所有安全认证的服务。

每个页面展示的「字段」都是一样的：

• 名称（ Autoruns Entry ）
• 描述（ Description ）
• 发行者（ Publisher ）
• 路径（ Image Path ）
• 时间戳（ Timestamp ）

2.2、可疑项目

列表中的项目，可以根据「颜色」来区分是否可疑：

• 黄色：没有文件路径，在预期位置找不到文件路径。
• 粉色：可疑项目，没有（签名）发行者或描述，not verified。
• 紫色：该项目的位置或路径。
• 绿色：上次扫描后新增的项目。

勾选表示开机自启动，取消勾选表示取消开机自启动，可疑项目也可以右键删除。

注意：勾选可以取消，但删除「无法回滚」，会永久删除，删除系统启动项可能会导致系统不稳定或崩溃。

右键的其他选项：

• Jump to Emtry ：打开启动项的「位置」。
• Jump to Image ：打开新窗口，并选中目标「文件」。
• Process Explorer ：调用 Process Explorer 来显示该进程的属性。
• Search Online ：使用默认浏览器搜索。
• Properties ：显示「文件属性」。

2.3、扫描方式

扫描设置中，可以选择识别方式：

识别方式可以选择检查「文件签名」，或者用「VT检查」：

• 「文件签名」：签名证书有效，并且证书由Windows信任的机构颁发显示 Verified；未签名或验证失败显示 Not verified。
• 「VT检查」：将可疑文件上传到 VirusTotal 平台分析，恶意文件会标红。

2.4、隐藏启动项

Autoruns默认隐藏Windows自身的启动项，我们可以手动开启，或者把 Microsoft 启动项也隐藏。

通常情况下，Windows 和 Microsoft 启动项是必要且安全的。

3、实战案例

3.1、检查Chrome是否自启动

1. 在上方的搜索栏（Quick Filter）输入程序名Chrome
2. 查看是否勾选（勾选=自启动）不想自启动就取消勾选。
3. 最下面可以显示程序的位置和启动参数。右键Jump to Image可以打开文件位置。

3.2、查找木马

1）木马程序通常没有数字签名，描述（Description）和发行者（Publisher）字段为空的项。比如：这个7-Zip就没有数字签名，很可疑。

2）可疑项，右键 Search Online 用默认浏览器搜索，或者手动搜索物理路径对应的文件名。能搜到说明正常；搜不到就很可疑，因为病毒的名字通常是随便起一个。

3）也可以从物理路径中将文件复制出来用杀软或沙箱扫描，确认恶意后删除文件。

3.3、比较差异

1. file-save 保存为文件
2. file-Compare 与另一个已经保存的文件比较差异，不同的启动项用绿色标记出来。