Główna » szkoła » Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem

    Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem

    Większość maniaków ma swoje narzędzie wyboru, aby poradzić sobie z procesami, które uruchamiają się automatycznie, bez względu na to, czy jest to MS Config, CCleaner, czy nawet Menedżer zadań w Windows 8 - ale żaden z nich nie ma tak dużej mocy jak Autoruns, co jest również naszą lekcją Geek School dla dzisiaj.

    NAWIGACJA SZKOLNA
    1. Jakie są narzędzia Sysinternet i jak ich używasz?
    2. Omówienie Eksploratora procesów
    3. Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania
    4. Omówienie Monitora procesu
    5. Używanie monitora procesu do rozwiązywania problemów i znajdowania haseł rejestru
    6. Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem
    7. Używanie BgInfo do wyświetlania informacji o systemie na pulpicie
    8. Używanie PsTools do sterowania innymi komputerami z poziomu wiersza poleceń
    9. Analizowanie i zarządzanie plikami, folderami i dyskami
    10. Pakowanie i używanie narzędzi razem

    W dawnych czasach oprogramowanie uruchamiało się automatycznie, dodając wpis do folderu Autostart w menu Start lub dodając wartość do klucza Run w rejestrze, ale ponieważ ludzie i oprogramowanie stali się bardziej doświadczeni w znajdowaniu niechcianych wpisów i usuwaniu ich , twórcy wątpliwego oprogramowania zaczęli znajdować sposoby na coraz bardziej podstępne.

    Te cieniste firmy typu crapware zaczęły zastanawiać się, jak automatycznie załadować swoje oprogramowanie za pomocą obiektów pomocniczych przeglądarki, usług, sterowników, zaplanowanych zadań, a nawet za pomocą bardzo zaawansowanych technik, takich jak przechwytywanie obrazów i AppInit_dlls.

    Sprawdzenie każdego z tych warunków ręcznie byłoby nie tylko czasochłonne, ale prawie niemożliwe dla przeciętnego człowieka.

    Właśnie tam pojawia się Autoruns i oszczędza cały dzień. Oczywiście można użyć Eksploratora procesów, aby przejrzeć listę procesów i zagłębić się w wątki i uchwyty, a monitor procesu może dokładnie określić, które klucze rejestru są otwierane przez proces i wyświetlać niesamowite ilości informacji. Jednak żadna z nich nie zatrzymuje ponownego ładowania crapware lub złośliwego oprogramowania przy następnym uruchomieniu komputera.

    Oczywiście mądrą strategią byłoby wykorzystanie wszystkich trzech elementów. Process Explorer widzi to, co aktualnie działa i zużywa swój procesor i pamięć, Monitor Procesu widzi, co robi aplikacja pod maską, a następnie Autoruns przychodzi do czyszczenia rzeczy, więc nie wracają.

    Autoruns pozwala zobaczyć prawie wszystkie rzeczy, które są automatycznie ładowane na twoim komputerze i wyłączyć je tak łatwo, jak kliknięcie pola wyboru. Jest niezwykle łatwy w użyciu i prawie nie wymaga objaśnień, z wyjątkiem niektórych naprawdę skomplikowanych rzeczy, które musisz znać, aby zrozumieć, co niektóre z kart mają na myśli. Tego właśnie naucza ta lekcja.

    Praca z interfejsem Autoruns

    Możesz pobrać narzędzie Autoruns ze strony internetowej SysInternals, tak jak całą resztę i uruchomić je bez instalowania. Będziesz chciał to zrobić przed kontynuowaniem.

    Uwaga: Autoruns nie wymaga pracy jako administrator, ale realistycznie ma to sens, aby to zrobić, ponieważ istnieje kilka funkcji, które nie będą działały w inny sposób, i istnieje duża szansa, że ​​Twoje złośliwe oprogramowanie działa również jako administrator.

    Po pierwszym uruchomieniu interfejsu zobaczysz mnóstwo kart i listę rzeczy uruchamianych automatycznie na twoim komputerze. Domyślna zakładka Wszystko pokazuje wszystko z każdej karty, ale może być trochę dezorientująca i długa, więc radzimy tylko przejść przez każdą kartę osobno.

    Warto zauważyć, że domyślnie Autoruns ukrywa wszystko, co jest wbudowane w system Windows i jest ustawione na automatyczne uruchamianie. Możesz włączyć wyświetlanie tych elementów w opcjach, ale nie zalecamy tego.

    Wyłączanie elementów

    Aby wyłączyć dowolny element z listy, możesz po prostu usunąć to pole wyboru. To wszystko, co musisz zrobić, po prostu przejrzyj listę i usuń wszystko, czego nie potrzebujesz, uruchom ponownie komputer, a następnie uruchom go ponownie, aby upewnić się, że wszystko jest w porządku.

    Uwaga: niektóre złośliwe oprogramowanie będzie stale monitorować lokalizacje, w których wyzwalają autostart, i natychmiast przywróci wartość. Możesz użyć klawisza F5, aby ponownie przeskanować i sprawdzić, czy któryś z wpisów wrócił po ich wyłączeniu. Jeśli jedno z nich pojawiło się ponownie, należy użyć Process Explorer, aby zawiesić lub zabić to złośliwe oprogramowanie, zanim zostanie wyłączone w tym miejscu.

    Kolory

    Podobnie jak większość narzędzi SysInternals, elementy na liście mogą mieć różne kolory, a oto co mają na myśli:

    • Różowy - oznacza to, że nie znaleziono żadnych informacji o wydawcy lub jeśli weryfikacja kodu jest włączona, oznacza, że ​​podpis cyfrowy nie istnieje lub nie pasuje lub nie ma informacji o wydawcy.
    • Zielony - ten kolor jest używany podczas porównywania z poprzednim zestawem danych Autoruns, aby wskazać element, który nie był tam ostatni raz.
    • Żółty - pozycja startowa tam jest, ale plik lub zadanie, do którego wskazuje, już nie istnieje.

    Podobnie jak większość narzędzi SysInternals, możesz kliknąć prawym przyciskiem myszy dowolny wpis i wykonać kilka czynności, w tym przeskoczyć do wpisu lub obrazu (rzeczywistego pliku w Eksploratorze). Możesz wyszukiwać w trybie online nazwę procesu lub dane w kolumnie, zobaczyć szczegółowe właściwości lub sprawdzić, czy wpis jest uruchomiony, wykonując szybkie wyszukiwanie w Eksploratorze procesów - mimo że wiele procesów ma program ładujący, który następnie uruchamia coś innego wyjście, więc tylko dlatego, że ta funkcja nie pokazuje żadnych wyników, nic nie znaczy.

    Po kliknięciu opcji Przejdź do wpisu zostaniesz przeniesiony bezpośrednio do Edytora rejestru, gdzie zobaczysz ten konkretny klucz rejestru i rozejrzeć się. Jeśli wpis był czymś innym, możesz zostać przeniesiony do innego narzędzia, takiego jak Harmonogram zadań. Rzeczywistość jest taka, że ​​przez większość czasu, Autoruns wyświetla wszystkie te same informacje bezpośrednio w interfejsie, więc zazwyczaj nie musisz się martwić, chyba że chcesz dowiedzieć się więcej.

    Menu użytkownika umożliwia analizę innego konta użytkownika, co może być bardzo przydatne, jeśli załadowałeś autouruchamianie na innym koncie na tym samym komputerze. Warto zauważyć, że oczywiście musisz być administratorem, aby zobaczyć inne konta użytkowników na komputerze.

    Weryfikacja podpisów kodu

    Element menu Opcje filtrowania przenosi użytkownika do panelu opcji, w którym można wybrać jedną bardzo użyteczną opcję: Weryfikuj podpisy kodu. Spowoduje to sprawdzenie, czy każdy podpis cyfrowy jest analizowany i weryfikowany, i wyświetla wyniki bezpośrednio w oknie. Zauważ, że wszystkie elementy w kolorze różowym na poniższym zrzucie ekranu nie są zweryfikowane lub informacje o wydawcy nie istnieją.

    I dla dodatkowego kredytu, możesz zauważyć, że ten zrzut ekranu poniżej jest prawie taki sam jak ten na początku, z wyjątkiem tego, że niektóre z elementów na liście nie są oznaczone jako różowe. Różnica polega na tym, że domyślnie bez włączonej opcji Weryfikuj podpisy kodu funkcja autouruchamiania ostrzega Cię tylko o różowym wierszu, jeśli nie ma informacji o wydawcy.

    Przeanalizuj system offline (jak podczas podłączania twardego dysku do innego komputera)

    Wyobraź sobie, że komputer twojego przyjaciela jest całkowicie pomieszany i albo nie uruchomi się, albo po prostu uruchomi się tak wolno, że naprawdę go nie wykorzystasz. Próbowałeś trybu awaryjnego i opcji przywracania, takich jak Przywracanie systemu, ale to nie ma znaczenia, ponieważ nie nadaje się do użytku.

    Zamiast wyciągać kartę "reinstaluj", która często jest po prostu kartą "Poddaję się", możesz wyrwać twardy dysk i podłączyć go do komputera stacjonarnego lub laptopa z poręczną stacją dysków twardych USB. Masz jeden, prawda? Następnie wystarczy załadować Autoruns i przejść do Plik -> Analizuj system offline.

    Przeglądaj, aby znaleźć katalog systemu Windows na drugim dysku twardym i profil użytkownika, którego próbujesz zdiagnozować, i kliknij przycisk OK, aby rozpocząć.

    Oczywiście będziesz mieć dostęp do zapisu na dysku, ponieważ będziesz chciał zapisać ustawienia, aby usunąć wszelkie bzdury, które możesz znaleźć.

    Porównanie z innym komputerem (lub poprzednią czystą instalacją)

    Opcja Plik -> Wydaje się być nijakie, ale może być jednym z najpotężniejszych sposobów analizy komputera i sprawdzenia, co zostało dodane od czasu ostatniego skanowania lub porównania ze znanym czystym komputerem.

    Aby skorzystać z tej funkcji, po prostu wczytaj funkcję autouruchamiania na komputerze, który chcesz sprawdzić, lub w trybie offline opisanym wcześniej, a następnie wybierz Plik -> Porównaj. Wszystko, co zostało dodane od porównywalnej wersji pliku, pojawi się na zielono. To takie proste. Aby zapisać nową wersję, użyj opcji Plik -> Zapisz.

    Jeśli naprawdę chcesz być profesjonalistą, możesz zapisać czystą konfigurację z nowej instalacji systemu Windows i umieścić ją na dysku flash, aby zabrać ze sobą. Zapisz nową wersję za każdym razem, gdy pierwszy raz dotkniesz komputera, aby się upewnić, że możesz szybko zidentyfikować wszystkie nowe crapware dodane przez właściciela.

    Patrząc na karty

    Jak już widzieliście, Autoruns jest bardzo prostym, ale potężnym narzędziem, z którego prawdopodobnie może korzystać prawie każdy. To znaczy, wszystko co musisz zrobić, to odznaczyć pole, prawda? Przydaje się jednak więcej informacji o tym, co oznaczają te wszystkie karty, więc postaramy się Cię tutaj nauczyć.

    Następna strona: logowanie, zaplanowane zadania i przechwytywanie obrazu