Použitie autorunov na riešenie spúšťacích procesov a malware

Obsah:

Použitie autorunov na riešenie spúšťacích procesov a malware
Použitie autorunov na riešenie spúšťacích procesov a malware

Video: Použitie autorunov na riešenie spúšťacích procesov a malware

Video: Použitie autorunov na riešenie spúšťacích procesov a malware
Video: Your car is extended warranty (audio) - YouTube 2024, Apríl
Anonim
Väčšina geekov má svoj nástroj na riešenie procesov, ktoré sa spúšťajú automaticky, či už je to MS Config, CCleaner alebo dokonca Správca úloh v systéme Windows 8 - ale žiadny z nich nie je taký výkonný ako Autoruns, čo je tiež lekcia Geek School for dnes.
Väčšina geekov má svoj nástroj na riešenie procesov, ktoré sa spúšťajú automaticky, či už je to MS Config, CCleaner alebo dokonca Správca úloh v systéme Windows 8 - ale žiadny z nich nie je taký výkonný ako Autoruns, čo je tiež lekcia Geek School for dnes.

ŠKOLSKÁ NAVIGÁCIA

  1. Aké sú nástroje SysInternals a ako ich používate?
  2. Pochopenie Process Explorer
  3. Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovať
  4. Porozumenie procesu sledovania
  5. Používanie monitora procesov na riešenie problémov a hackerov v registri
  6. Použitie autorunov na riešenie spúšťacích procesov a malware
  7. Použitie programu BgInfo na zobrazenie informácií o systéme na pracovnej ploche
  8. Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
  9. Analýza a správa súborov, priečinkov a diskov
  10. Zbaliť a používať nástroje spoločne

V starých dňoch sa softvér automaticky spustil pridaním položky do priečinka Startup v ponuke Štart alebo pridaním hodnoty do kľúča Run v registri, ale ako ľudia a softvér sa stali skromnejšími pri hľadaní nežiaducich záznamov a ich odstránení, výrobcovia sporného softvéru začali hľadať spôsoby, ako získať stále viac a viac záludnosť.

Tieto spoločnosti, ktoré používajú tieňové crapware, začali zisťovať, ako automaticky načítať svoj softvér prostredníctvom objektov, služieb, ovládačov, naplánovaných úloh a dokonca aj prostredníctvom niektorých extrémne pokročilých techník, ako sú hádanie obrázkov a aplikácie AppInit_dlls.

Kontrola každého z týchto podmienok manuálne nie je časovo náročná, ale pre priemerného človeka je takmer nemožné.

Tam príde Autoruns a zachráni deň. Samozrejme, môžete použiť Process Explorer na prezeranie zoznamu procesov a ponoriť sa hlboko do vlákien a úchytiek a Process Monitor dokáže presne zistiť, ktoré kľúče registra sa otvárajú, čím proces a ukáže vám neuveriteľné množstvo informácií. Ale ani jeden neumožní, aby sa pri ďalšom naštartovaní počítača znova začalo nahrávať crapware alebo malware.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Autoruns vám umožňuje vidieť takmer každú vec, ktorá sa automaticky načíta do vášho počítača a zakázať ju tak jednoducho ako kliknutím na začiarkavacie políčko. Je to neuveriteľne ľahko použiteľné a takmer samo vysvetľujúce, okrem niektorých skutočne komplikovaných vecí, ktoré potrebujete vedieť, aby ste pochopili, čo vlastne znamenajú niektoré karty. To je to, čo táto lekcia učí.

Práca s rozhraním Autoruns

Môžete chytiť nástroj Autoruns z webovej stránky SysInternals rovnako ako všetky ostatné a spustiť bez inštalácie. Predtým, ako budete pokračovať, budete to chcieť urobiť.

Poznámka: Autoruns nevyžaduje bežiaceho administrátora, ale realisticky to robí najväčší zmysel len preto, lebo existuje niekoľko funkcií, ktoré nebudú fungovať inak a existuje veľká šanca, že váš malware beží aj ako správca.

Keď prvýkrát spustíte rozhranie, uvidíte tony kariet a zoznam vecí, ktoré sa automaticky spúšťajú vo vašom počítači. Predvolená karta Všetko zobrazuje všetko od každej karty, ale môže to byť trochu mätúce a zdĺhavé, a preto by sme vám radi poradili, keby ste prešli jednotlivé karty samostatne.

Stojí za povšimnutie, že Autoruns automaticky skryje všetko, čo je zabudované do systému Windows a nastaví sa na automatické spustenie. Môžete povoliť zobrazovanie týchto položiek v možnostiach, ale nedoporučujeme to.
Stojí za povšimnutie, že Autoruns automaticky skryje všetko, čo je zabudované do systému Windows a nastaví sa na automatické spustenie. Môžete povoliť zobrazovanie týchto položiek v možnostiach, ale nedoporučujeme to.

Zakázanie položiek

Ak chcete zakázať akúkoľvek položku v zozname, môžete ju odstrániť. To je všetko, čo musíte urobiť, stačí prelistovať zoznam a odstrániť všetko, čo nepotrebujete, reštartovať počítač a potom spustiť znova, aby ste sa uistili, že všetko je dobré.

Poznámka:niektorý škodlivý softvér bude neustále monitorovať miesta, odkiaľ spustia autostart, a okamžite vráti hodnotu. Môžete použiť kláves F5 na opätovné skenovanie a zistiť, či sa niektoré záznamy vrátili po ich vypnutí. Ak sa znova objaví jeden z nich, mali by ste predtým, ako ho zakážete, použiť program Explorer na pozastavenie alebo zabitie tohto škodlivého softvéru.

Farby

Rovnako ako väčšina nástrojov SysInternals, položky v zozname môžu byť rôzne farby a tu je to, čo znamenajú:

  • Ružová - to znamená, že neboli nájdené žiadne informácie o vydavateľovi, alebo ak je overovanie kódu zapnuté, znamená to, že digitálny podpis buď neexistuje, alebo sa nezhoduje, alebo neexistujú žiadne informácie o vydavateľovi.
  • zelená - táto farba sa používa pri porovnaní s predchádzajúcou sériou údajov Autoruns na označenie položky, ktorá tam nebola naposledy.
  • žltá - spúšťací záznam je tam, ale súbor alebo úloha, na ktorú odkazuje, už neexistuje.

Rovnako ako väčšina nástrojov SysInternals môžete kliknúť pravým tlačidlom myši na ľubovoľný záznam a vykonať niekoľko akcií, vrátane skoku na vstup alebo obrázok (aktuálny súbor v programe Explorer). Môžete vyhľadávať online názov procesu alebo údaje v stĺpci, zobraziť podrobnosti o vlastnostiach, alebo zistiť, či je daná položka spustená rýchlym vyhľadávaním prostredníctvom aplikácie Process Explorer - aj keď mnohé procesy majú nakladač, ktorý potom spustil niečo iné opustenie, takže len preto, že táto funkcia nevykazuje žiadne výsledky, neznamená nič.

Ak ste klikli na položku Prejsť na položku, dostanete sa priamo do Editora databázy Registry, kde môžete vidieť konkrétny kľúč databázy Registry a rozhliadnuť sa. Ak bol záznam iným, môžete byť odvezený do iného nástroja, napríklad Plánovač úloh.Skutočnosť je, že väčšinu času Autoruns zobrazuje všetky rovnaké informácie priamo v rozhraní, takže zvyčajne sa nemusíte obťažovať, ak sa chcete dozvedieť viac.
Ak ste klikli na položku Prejsť na položku, dostanete sa priamo do Editora databázy Registry, kde môžete vidieť konkrétny kľúč databázy Registry a rozhliadnuť sa. Ak bol záznam iným, môžete byť odvezený do iného nástroja, napríklad Plánovač úloh.Skutočnosť je, že väčšinu času Autoruns zobrazuje všetky rovnaké informácie priamo v rozhraní, takže zvyčajne sa nemusíte obťažovať, ak sa chcete dozvedieť viac.
Užívateľské menu vám umožňuje analyzovať iný užívateľský účet, ktorý môže byť skutočne užitočný, ak ste nahrali Autoruns na inom účte na tom istom počítači. Stojí za zmienku, že by ste mali samozrejme bežať ako správca, aby ste v počítači mohli vidieť ďalšie používateľské účty.
Užívateľské menu vám umožňuje analyzovať iný užívateľský účet, ktorý môže byť skutočne užitočný, ak ste nahrali Autoruns na inom účte na tom istom počítači. Stojí za zmienku, že by ste mali samozrejme bežať ako správca, aby ste v počítači mohli vidieť ďalšie používateľské účty.
Image
Image

Overenie podpisov kódu

Položka ponuky Možnosti filtrovania vás prevedie na panel možností, kde si môžete vybrať jednu veľmi užitočnú možnosť: Overiť podpisy kódu. Tým sa skontroluje, či je každý digitálny podpis analyzovaný a overený, a zobrazuje výsledky priamo v okne. Všimnete si, že všetky položky na ružovej obrazovke nižšie nie sú overené alebo informácie o vydavateľovi neexistujú.

A navyše si môžete všimnúť, že táto snímka obrazovky je takmer tá istá ako tá na začiatku, s výnimkou niektorých položiek v zozname, ktoré nie sú označené ako ružové. Rozdiel je v tom, že v predvolenom nastavení bez možnosti zapisovania podpísaného overovacieho kódu, autoruns vás len upozorní ružovým riadkom, ak neexistujú žiadne informácie o vydavateľovi.

Image
Image

Analyzujte systém offline (ako pri pripájaní pevného disku k inému počítaču)

Predstavte si, že váš počítač vášho priateľa je úplne zmätený a buď nebude bootovať, alebo sa len obuvi tak pomaly, že to skutočne nemôžete použiť. Vyskúšali ste bezpečný režim a možnosti obnovenia, ako je Obnovovanie systému, ale nezáleží na tom, pretože je nepoužiteľné.

Namiesto toho, aby ste vytiahli kartu "reinštalovať", ktorá je často len kartou "Ja vzdávam", môžete vytiahnuť pevný disk a pripojiť ho k počítaču alebo notebooku pomocou praktického doku pre pevný disk USB. Máte jednu, nie? Potom stačí načítať Autoruns a prejsť na Súbor -> Analyzovať Offline systém.

Vyhľadajte adresár systému Windows na inom pevnom disku a používateľský profil používateľa, ktorého sa pokúšate diagnostikovať, a kliknite na tlačidlo OK.
Vyhľadajte adresár systému Windows na inom pevnom disku a používateľský profil používateľa, ktorého sa pokúšate diagnostikovať, a kliknite na tlačidlo OK.
Budete potrebovať prístup k zápisu na disk, samozrejme, pretože budete chcieť uložiť nastavenia na odstránenie akéhokoľvek nezmyslu, ktorý nakoniec nájdeš.
Budete potrebovať prístup k zápisu na disk, samozrejme, pretože budete chcieť uložiť nastavenia na odstránenie akéhokoľvek nezmyslu, ktorý nakoniec nájdeš.

Porovnanie proti inému počítaču (alebo predchádzajúcej čistej inštalácii)

Možnosť File -> Compare sa zdá byť nepodložená, ale môže to byť jeden z najvýkonnejších spôsobov, ako analyzovať počítač a zistiť, čo bolo pridaná od posledného naskenovania, alebo porovnať so známym čistým počítačom.

Ak chcete použiť túto funkciu, stačí načítať Autoruns v počítači, ktorý sa pokúšate skontrolovať, alebo pomocou režimu offline, ktorý sme opísali vyššie, a potom prejdite na položku Súbor -> Porovnať. Všetko, čo bolo pridané od porovnanej verzie súboru, sa zobrazí v jasne zelenej farbe. Je to tak jednoduché. Ak chcete uložiť novú verziu, použite možnosť Súbor -> Uložiť.

Ak naozaj chcete byť profesionálom, môžete uložiť čistú konfiguráciu z novej inštalácie systému Windows a dať to na flash disk, aby si s tebou. Uložte novú verziu zakaždým, keď sa dotknete počítača prvýkrát, aby ste sa uistili, že môžete rýchlo identifikovať všetky nové crapware majiteľ pridala.
Ak naozaj chcete byť profesionálom, môžete uložiť čistú konfiguráciu z novej inštalácie systému Windows a dať to na flash disk, aby si s tebou. Uložte novú verziu zakaždým, keď sa dotknete počítača prvýkrát, aby ste sa uistili, že môžete rýchlo identifikovať všetky nové crapware majiteľ pridala.

Pri pohľade na záložky

Ako ste už videli, Autoruns je veľmi jednoduchý, ale výkonný nástroj, ktorý by pravdepodobne mohol použiť skoro každý. Chcem povedať, všetko, čo musíte urobiť, je zrušiť začiarknutie políčka, nie? Je však užitočné mať viac informácií o tom, čo znamenajú všetky tieto karty, a preto vás budeme snažiť a vzdelávame tu.

Ďalšia stránka: Prihlásenie, naplánované úlohy a únosy obrázkov

Odporúča:

Použitie Plánovača úloh na spustenie procesov neskôr

Použitie Plánovača úloh na spustenie procesov neskôr

V tomto vydaní Geek School vás budeme učiť o mimoriadne silnom nástroji Plánovač úloh, ktorý používa systém Windows za scénam, aby robil najrôznejšie veci.

Použitie protokolu htop na monitorovanie systémových procesov na systéme Linux

Použitie protokolu htop na monitorovanie systémových procesov na systéme Linux

Väčšina ľudí, ktorí sú oboznámení s operačným systémom Linux, použili pomocný nástroj príkazového riadka, aby zistili, aký proces využíva väčšinu procesora alebo pamäte. Existuje podobný nástroj s názvom htop, ktorý je oveľa jednoduchšie použiť pre bežné úlohy.

Používanie monitora procesov na riešenie problémov a hackerov v registri

Používanie monitora procesov na riešenie problémov a hackerov v registri

V dnešnom vydaní Geek School vás budeme naučiť, ako používať Process Monitor na skutočné riešenie problémov a zisťovanie hackerov v registri, o ktorých by ste nevedeli inak.

Ako ovládať poradie spúšťacích programov v systéme Windows

Ako ovládať poradie spúšťacích programov v systéme Windows

Pravdepodobne ste veľmi dobre oboznámení s funkciou Windows spustených programov. Aj keď môžete určiť aplikácie, ktoré chcete spustiť na začiatku systému Windows, nie je k dispozícii možnosť ovládať poradie, v ktorom sa spúšťajú. Existuje však niekoľko spôsobov, ako môžete ľahko prekonať toto obmedzenie a riadiť počiatočné poradie aplikácií.

Použitie verbóznych zavádzacích správ na riešenie problémov pri spustení systému Windows

Použitie verbóznych zavádzacích správ na riešenie problémov pri spustení systému Windows

Ak ste niekedy mali problémy so spustením alebo vypínaním počítača pomaly, existuje veľa rôznych techník na riešenie problémov, ktoré môžete použiť - dnes budeme hovoriť o tom, ako povoliť podrobné správy.