Uporaba Autoruns za obravnavo zagonskih procesov in Malware
Večina geekov ima svoje izbrano orodje za obravnavo procesov, ki se samodejno zaženejo, ne glede na to, ali je to MS Config, CCleaner ali celo Task Manager v operacijskem sistemu Windows 8, vendar nobena od njih ni tako močna kot avtomatske, kar je tudi naša lekcija za Geek šolo za danes.
ŠOLSKA NAVIGACIJA- Kaj so orodja SysInternals in kako jih uporabljate?
- Razumevanje Process Explorerja
- Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje
- Razumevanje procesa Monitor
- Uporaba Process Monitor za odpravljanje težav in najti registracija Hacks
- Uporaba Autoruns za obravnavo zagonskih procesov in Malware
- Uporaba BgInfo za prikaz informacij o sistemu na namizju
- Uporaba PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice
- Analiziranje in upravljanje datotek, map in pogonov
- Zavijanje in uporaba orodij skupaj
V starih časih bi se programska oprema samodejno zagnala z dodajanjem vnosa v mapo »Startup« v meniju »Start« ali dodajanje vrednosti v ključ »Run« v registru, vendar so ljudje in programska oprema postali bolj zdrava pamet pri iskanju neželenih vnosov in brisanju oblikovalci vprašljive programske opreme so začeli iskati načine, da bi postali bolj zahrbtni.
Ta senčna podjetja za izdelavo vrečk so začela razmišljati o tem, kako samodejno naložiti svojo programsko opremo s pomočjo predmetov, storitev, gonilnikov, načrtovanih nalog in celo s pomočjo izjemno naprednih tehnik, kot so slike ugrabitev in AppInit_dlls.
Ročno preverjanje vsakega od teh pogojev ne bi bilo le dolgotrajno, ampak skoraj nemogoče narediti za povprečno osebo.
To je, kjer Autoruns pride in shrani dan. Seveda lahko uporabite Process Explorer, da si ogledate seznam procesov in se poglobite v teme in ročaji, procesni monitor pa lahko natančno ugotovi, kateri ključi registra se odprejo s tem procesom in vam pokažejo neverjetne količine informacij. Toda nobeden ne ustavi nalaganja zobne programske opreme ali zlonamerne programske opreme, ko naslednjič zaženete računalnik.
Seveda bi bila pametna strategija uporaba vseh treh skupaj. Process Explorer vidi, kaj se trenutno izvaja in porabi vaš CPU in pomnilnik, Process Monitor vidi, kaj aplikacija počne pod pokrovom, nato pa se pojavi možnost Autoruns za čiščenje stvari, da se ne vrnejo nazaj.
S funkcijo samodejnega zagona lahko vidite skoraj vsako stvar, ki se samodejno naloži v računalnik, in jo onemogočite tako preprosto, kot da kliknete potrditveno polje. To je neverjetno enostaven za uporabo, in skoraj samoumevno, razen za nekatere res zapletene stvari, ki jih morate vedeti, da bi razumeli, kaj nekateri od kartic dejansko pomenijo. To bo poučevanje te lekcije.
Delo z vmesnikom Autoruns
Orodje Autoruns lahko zagrabite s spletne strani SysInternals, tako kot vsi ostali in ga zaženete brez namestitve. To boste želeli narediti, preden nadaljujete.
Opomba: Za samodejni zagon ni potrebno zaganjanje kot skrbnik, toda realno je najbolj smiselno, da to storite, saj obstaja nekaj funkcij, ki sicer ne bodo delovale drugače, in obstaja velika verjetnost, da bo tudi vaša zlonamerna programska oprema zagnana kot skrbnik..
Ko prvič zaženete vmesnik, boste videli ton kartic in seznam stvari, ki se samodejno zaženejo v računalniku. Na privzetem zavihku Vse je prikazano vse z vseh zavihkov, vendar je lahko malo zmedeno in dolgotrajno, zato vam svetujemo, da ločeno pregledate vsak zavihek posebej..
Vredno je omeniti, da samodejni zagon samodejno skrije vse, kar je vgrajeno v Windows, in samodejno zažene. V možnostih lahko omogočite prikazovanje teh elementov, vendar vam tega ne priporočamo.
Onemogočanje elementov
Če želite onemogočiti kateri koli element na seznamu, ga lahko samo odstranite. To je vse, kar morate storiti, samo pojdite po seznamu in odstranite vse, kar ne potrebujete, ponovno zaženite računalnik in ga znova zaženite, da se prepričate, da je vse dobro.
Opomba: nekatera zlonamerna programska oprema bo nenehno spremljala lokacije, iz katerih sproži samodejni zagon, in takoj vrnila vrednost nazaj. S tipko F5 lahko ponovno preverite in preverite, ali se je kateri od vnosov vrnil po tem, ko ste jih onemogočili. Če se je eden izmed njih ponovno pojavil, uporabite Process Explorer, da začasno ustavite ali ubijete to zlonamerno programsko opremo, preden jo onemogočite tukaj.
Barve
Kot večina orodij SysInternals so lahko elementi na seznamu različne barve, in to je tisto, kar pomenijo:
- Roza - to pomeni, da ni bilo mogoče najti informacij o izdajatelju ali če je preverjanje kode vključeno, pomeni, da digitalni podpis ne obstaja ali se ne ujema ali pa ni nobenih informacij o izdajatelju..
- Zelena - ta barva se uporablja, kadar primerjate s prejšnjim nizom podatkov o samodejnem zagonu, da označite element, ki ga ni bilo.
- Rumena - zagonski vnos je tam, vendar datoteka ali opravilo, na katero kaže, ne obstaja več.
Prav tako kot večina orodij SysInternals lahko z desno miškino tipko kliknete kateri koli vnos in izvedete več dejanj, vključno s skokom na vnos ali sliko (dejanska datoteka v Raziskovalcu). Poiščete lahko ime procesa ali podatkov v stolpcu na spletu, si ogledate podrobne lastnosti ali preverite, ali se ta vnos izvaja, tako da na hitro izvedete iskanje v Raziskovalcu procesov - čeprav imajo mnogi procesi nalagalnik, ki nato pred tem zažene nekaj drugega. zato, ker ta funkcija ne kaže nobenih rezultatov, ne pomeni ničesar.
Če ste kliknili »Skoči na vnos«, boste preusmerjeni na urejevalnik registra, kjer si lahko ogledate ta registrski ključ in si ogledate. Če je bil vnos nekaj drugega, bi vas lahko odpeljali v drug pripomoček, kot je razporejevalnik opravil. Resničnost je, da večina časa samodejni zagon prikaže vse iste informacije v vmesniku, tako da vam ponavadi ni treba skrbeti, če ne želite izvedeti več..
V meniju User (Uporabnik) lahko analizirate drugačen uporabniški račun, ki je lahko zelo koristen, če ste samodejni zagon naložili na drug račun v istem računalniku. Vredno je omeniti, da bi morali videti, kot da ste upravitelj, da bi videli druge uporabniške račune v računalniku.
Preverjanje podpisov kode
Element menija Možnosti filtra vas popelje na ploščo z možnostmi, kjer lahko izberete eno zelo uporabno možnost: Preveri Podpise kode. S tem boste preverili, ali je vsak digitalni podpis analiziran in preverjen, rezultati pa se prikažejo neposredno v oknu. Opazili boste, da vsi elementi v roza barvi na spodnjem posnetku zaslona niso preverjeni ali da informacije o izdajatelju ne obstajajo.
In za dodatno zaslužek, boste morda opazili, da je ta spodnji posnetek skoraj enak kot pred začetkom, razen tistega, ki ni označen kot rožnati. Razlika je v tem, da samodejni zagon brez privzete nastavitve potrditve kode za preverjanje kod vas opozori z rožnato vrstico, če ne obstajajo informacije o izdajatelju..
Analizirajte sistem brez povezave (kot pri priklopu trdega diska na drug računalnik)
Predstavljajte si, da je računalnik vašega prijatelja popolnoma zmešan in se ne bo zagnal ali pa se bo tako počasi zagnal, da ga ne morete uporabiti. Preizkusili ste varni način in možnosti obnovitve, kot je obnovitev sistema, vendar to ni pomembno, ker je neuporabno.
Namesto da bi povlekli kartico za vnovično namestitev, ki je pogosto samo kartica, se lahko iztegnete iz trdega diska in ga priključite na računalnik ali prenosni računalnik s priročnim priklopnim pogonom na trdi disk USB. Imate eno, kajne? Potem si samo naložite do Autoruns in pojdite na File -> Analyze Offline System.
Poiščite imenik Windows na drugem trdem disku in uporabniški profil uporabnika, ki ga želite diagnosticirati, in kliknite V redu, da začnete.
Seveda boste potrebovali dostop za pisanje do pogona, ker boste želeli shraniti nastavitve, da boste odstranili neumnosti, ki jih boste ugotovili.
Primerjava z drugim računalnikom (ali predhodna čista namestitev)
Možnost Datoteka -> Primerjaj se zdi nenavadna, vendar je lahko eden od najmočnejših načinov za analizo računalnika in za prikaz, kaj je bilo dodano od zadnjega skeniranja, ali za primerjavo z znanim čistim računalnikom.
Če želite uporabiti to funkcijo, naložite samodejni zagon na računalnik, ki ga poskušate pregledati, ali pa uporabite način brez povezave, ki smo ga opisali prej, nato pa v datoteko -> Primerjaj. Vse, kar je bilo dodano od različice primerjane datoteke, bo prikazano v svetlo zeleni barvi. Tako preprosto je. Če želite shraniti novo različico, uporabite možnost Datoteka -> Shrani.
Če res želite biti pro, lahko shranite čisto konfiguracijo iz nove namestitve operacijskega sistema Windows in jo postavite na bliskovni pogon, da ga vzamete s seboj. Shranite novo različico vsakič, ko se prvič dotaknete računalnika, da se prepričate, da lahko hitro prepoznate vse nove vrečke, ki jih je lastnik dodal.
Pogled na zavihke
Kot ste videli doslej, je Autoruns zelo preprost, a zmogljiv pripomoček, ki bi ga verjetno lahko uporabil skoraj vsakdo. Mislim, vse kar moraš storiti je, da počisti polje, kajne? Koristno pa je, da imate nekaj več informacij o tem, kaj vse te kartice pomenijo, zato vas bomo tukaj poskusili izobraževati.
Naslednja stran: prijava, načrtovana opravila in ugrabitev slik