Brug Autoruns til at håndtere opstartsprocesser og malware
De fleste geeks har deres valgmulighed at behandle processer, der starter automatisk, uanset om det er MS Config, CCleaner eller endda Task Manager i Windows 8 - men ingen af dem er så magtfulde som Autoruns, hvilket også er vores Geek School-lektion for i dag.
SCHOOL NAVIGATION- Hvad er SysInternals Tools og hvordan bruger du dem?
- Forstå Process Explorer
- Brug af Process Explorer til fejlfinding og diagnosticering
- Forståelse Process Monitor
- Brug Procesovervågning til Fejlfinding og Find Registry Hacks
- Brug Autoruns til at håndtere opstartsprocesser og malware
- Brug af BgInfo til at vise systemoplysninger på skrivebordet
- Brug af PsTools til at styre andre pc'er fra kommandolinjen
- Analysere og administrere dine filer, mapper og drev
- Indpakning og brug af værktøjerne sammen
I gamle dage ville softwaren starte automatisk ved at tilføje en post til Startup-mappen i startmenuen eller tilføje en værdi til Run-tasten i registreringsdatabasen, men da folk og software blev mere kloge på at finde uønskede poster og slette dem , skaberne af tvivlsom software begyndte at finde måder at få mere og mere snigende på.
Disse skyggefulde crapware-virksomheder begyndte at finde ud af, hvordan man automatisk kan indlæse deres software via browserhjælperobjekter, tjenester, drivere, planlagte opgaver og endda gennem nogle yderst avancerede teknikker som image hijacks og AppInit_dlls.
Kontrol af hver af disse betingelser manuelt ville ikke kun være tidskrævende, men næsten umuligt at gøre for den gennemsnitlige person.
Det er her, hvor Autoruns kommer ind og sparer dagen. Sikker på, at du kan bruge Process Explorer til at se igennem proceslisten og dykke dybt ind i tråde og håndtag, og Process Monitor kan finde ud af, nøjagtigt hvilke registreringsnøgler der åbnes ved hvilken proces og vise dig utrolige mængder information. Men ingen af dem stopper crapware eller malware fra at blive indlæst igen, næste gang du starter din pc.
Selvfølgelig ville en smart strategi være at bruge alle tre sammen. Process Explorer ser hvad der aktuelt kører og bruger op din CPU og hukommelse, Process Monitor ser hvad applikationen gør under hooden, og så kommer Autoruns ind for at rense tingene op, så de ikke kommer tilbage.
Autoruns giver dig mulighed for at se næsten alle ting, der automatisk indlæses på din computer, og deaktivere det så nemt som at klikke på en afkrydsningsfelt. Det er utrolig nemt at bruge, og næsten selvforklarende, bortset fra nogle af de meget komplicerede ting, du skal vide for at forstå, hvad nogle af fanerne faktisk betyder. Det er, hvad denne lektion skal lære.
Arbejder med Autoruns Interface
Du kan fange Autoruns-værktøjet fra SysInternals websted ligesom alle andre og køre det uden at installere. Du vil gerne gøre det, før du fortsætter.
Bemærk: Autoruns kræver ikke at køre som administrator, men realistisk er det mest fornuftigt at bare gøre det, da der er et par funktioner, der ikke fungerer så godt ellers, og der er en god chance for at din malware også kører som administrator.
Når du først starter grænsefladen, kan du se et ton af faner og en liste over ting, der startes automatisk på din computer. Fanen Standard Alt viser alt fra hver fane, men det kan være lidt forvirrende og langvarigt, så vi vil anbefale kun at gå gennem hver fane separat.
Det er værd at bemærke, at Autoruns som standard gemmer alt, der er indbygget i Windows og indstillet til automatisk at starte. Du kan aktivere visning af disse elementer i mulighederne, men vi vil ikke anbefale det.
Deaktivering af elementer
For at deaktivere noget i listen, kan du bare fjerne afkrydsningsfeltet. Det er alt, hvad du skal gøre, bare gå gennem listen og fjern alt, hvad du ikke behøver, genstart computeren, og kør den igen for at sikre, at alt er godt.
Bemærk: nogle malware vil konstant overvåge de steder, hvor de udløser autostart fra, og vil straks sætte værdien tilbage. Du kan bruge F5-tasten til at scanne igen og se om nogen af posterne kom tilbage, efter at de blev deaktiveret. Hvis en af dem dukkede op igen, skal du bruge Process Explorer til at suspendere eller dræbe den pågældende malware, før du deaktiverer den her.
Farverne
Som de fleste SysInternals værktøjer kan elementerne i listen være forskellige farver, og her er hvad de betyder:
- Lyserød - det betyder, at der ikke blev fundet nogen udgiveroplysninger, eller hvis kodeverifikation er på, betyder det, at den digitale signatur enten ikke findes eller ikke stemmer overens, eller der er ingen udgiveroplysninger.
- Grøn - Denne farve bruges, når man sammenligner med et tidligere sæt Autoruns-data for at angive et element, der ikke var der sidste gang.
- Gul - opstartsposten er der, men filen eller jobbet, der peger på, eksisterer ikke mere.
På samme måde som de fleste SysInternals værktøjer kan du højreklikke på enhver post og udføre en række handlinger, herunder at hoppe til indgangen eller billedet (den faktiske fil i Explorer). Du kan søge online efter navnet på processen eller dataene i kolonnen, se de detaljerede egenskaber eller se om den pågældende post kører ved at foretage en hurtig søgning gennem Process Explorer - selv om mange processer har en loader, der derefter starter noget andet før spændende, så bare fordi denne funktion viser ingen resultater betyder ikke noget.
Hvis du klikker på Hop til indtastning, bliver du taget direkte over til registreringseditoren, hvor du kan se den pågældende registreringsnøgle og kigge rundt. Hvis posten var noget andet, kan du blive taget til et andet værktøj, som Task Scheduler. Virkeligheden er, at Autoruns for det meste viser alle de samme oplysninger lige i grænsefladen, så du behøver normalt ikke at genere, medmindre du vil lære mere.
Brugermenuen giver dig mulighed for at analysere en anden brugerkonto, hvilket kan være meget nyttigt, hvis du har indlæst Autoruns på en anden konto på samme computer. Det er værd at bemærke, at du selvfølgelig skal køre som administrator for at se andre brugerkonti på pc'en.
Bekræftelseskodebetegnelser
Menupunktet Filtreringsindstillinger fører dig til et valgpanel, hvor du kan vælge en meget nyttig mulighed: Bekræft kodebetegnelser. Dette kontrollerer for at sikre, at hver digital signatur analyseres og verificeres, og viser resultaterne lige i vinduet. Du vil bemærke, at alle varer i pink på skærmen nedenfor ikke er verificeret, eller at udgiveroplysningerne ikke findes.
Og for ekstra kredit kan du bemærke, at dette skærmbillede nedenfor er næsten det samme som det der var nær begyndelsen, undtagen i den ene nogle af de elementer i listen, der ikke er markeret som pink. Forskellen er, at standardindstillingerne ikke aktiveres, hvis Autoruns-funktionen er aktiveret, vil kun advare dig med den lyserøde række, hvis der ikke findes nogen udgiverinformation.
Analyser et offline-system (som ved at tilslutte en harddisk til en anden pc)
Forestil dig, at din vens computer er fuldstændig rodet og enten ikke starter eller bare støvler så langsomt, at du ikke rigtig kan bruge den. Du har forsøgt sikker tilstand og genoprettelsesmuligheder som Systemgendannelse, men det er ligegyldigt, fordi det ikke er ubrugeligt.
I stedet for at trække på "geninstallér" -kortet, som ofte kun er "Jeg giver op" -kortet, kan du udkoble harddisken og tilslut den til din pc eller laptop med din handy USB-harddiskdock. Du har en, ikke? Så skal du bare oplade Autoruns og gå til File -> Analyse Offline System.
Gennemse for at finde Windows-mappen på den anden harddisk og brugerprofilen for den bruger, du forsøger at diagnosticere, og klik på OK for at starte.
Du skal selvfølgelig skriveadgang til drevet, fordi du vil gemme indstillingerne for at fjerne uanset nonsens, du ender med at finde.
Sammenligning mod en anden pc (eller tidligere ren installation)
Alternativet File -> Sammenlign synes ikke at være skrevet, men det kan være en af de mest kraftfulde måder at analysere en pc på og se, hvad der er tilføjet siden sidste gang du scannede eller sammenligne med en kendt ren pc.
For at bruge denne funktion skal du bare uploade Autoruns på pc'en, du forsøger at inspicere, eller bruge den offline-funktion, vi tidligere beskrev, og derefter gå til Filer -> Sammenlign. Alt, der er tilføjet siden den sammenlignede filversion, vises i lysegrøn. Det er så simpelt som det. For at gemme en ny version, skal du bruge indstillingen Fil -> Gem.
Hvis du virkelig vil være en proffs, kan du gemme en ren konfiguration fra en ny installation af Windows og sætte den på et flashdrev til at tage med dig. Gem en ny version hver gang du rører en pc for første gang for at sikre, at du hurtigt kan identificere alle de nye crapware, som ejeren har tilføjet.
Kigger på fanerne
Som du har set indtil videre, er Autoruns et meget simpelt, men kraftfuldt værktøj, der sandsynligvis kunne bruges af næsten alle. Jeg mener, alt du skal gøre er at fjerne markeringen af en kasse, ikke? Det er dog nyttigt at have nogle flere oplysninger om, hvad alle disse faner betyder, så vi vil forsøge at uddanne dig her.
Næste side: Logon, Planlagte opgaver og Image Hijacking