Использование автозапуска для работы с процессами запуска и вредоносными программами

Оглавление:

Использование автозапуска для работы с процессами запуска и вредоносными программами
Использование автозапуска для работы с процессами запуска и вредоносными программами

Видео: Использование автозапуска для работы с процессами запуска и вредоносными программами

Видео: Использование автозапуска для работы с процессами запуска и вредоносными программами
Видео: Car Camping in Freezing Cold with Dog - Roof Tent - YouTube 2024, Май
Anonim
У большинства вундеркиндов есть свой выбор для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 8, - но ни один из них не обладает такими же мощными возможностями, как Autoruns, что также является нашим уроком по программе Geek School сегодня.
У большинства вундеркиндов есть свой выбор для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 8, - но ни один из них не обладает такими же мощными возможностями, как Autoruns, что также является нашим уроком по программе Geek School сегодня.

ШКОЛЬНАЯ НАВИГАЦИЯ

  1. Каковы инструменты SysInternals и как их использовать?
  2. Понимание Process Explorer
  3. Использование Process Explorer для устранения неполадок и диагностики
  4. Понимание Process Monitor
  5. Использование Process Monitor для устранения неполадок и поиска файлов реестра
  6. Использование автозапуска для работы с процессами запуска и вредоносными программами
  7. Использование BgInfo для отображения информации о системе на рабочем столе
  8. Использование PsTools для управления другими ПК из командной строки
  9. Анализ и управление файлами, папками и дисками
  10. Объединение и использование инструментов вместе

В прежние времена программное обеспечение запускалось автоматически, добавляя запись в папку «Автозагрузка» в меню «Пуск» или добавляя значение в «Запуск» в реестре, но по мере того, как люди и программное обеспечение стали более подкованными при поиске нежелательных записей и удалении их, создатели сомнительного программного обеспечения начали искать способы стать все более и более скрытыми.

Эти теневые компании crapware начали выяснять, как автоматически загружать свое программное обеспечение через вспомогательные объекты браузера, службы, драйверы, запланированные задачи и даже с помощью некоторых чрезвычайно продвинутых методов, таких как захват изображений и AppInit_dlls.

Проверка для каждого из этих условий вручную потребовала бы не только трудоемкого времени, но и практически невозможного для среднего человека.

Вот где Autoruns приходит и экономит день. Конечно, вы можете использовать Process Explorer, чтобы просмотреть список процессов и углубиться в потоки и дескрипторы, а Process Monitor может определить, какие ключи реестра открываются в этом процессе и показать вам невероятное количество информации. Но ни один из них не перестает загружать crapware или malware при следующем загрузке вашего ПК.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Autoruns позволяет вам видеть почти все, что загружается автоматически на вашем компьютере, и отключить его так же просто, как щелчок по флажку. Это невероятно простое в использовании и почти самоочевидное, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые из вкладок. Вот этот урок будет учить.

Работа с интерфейсом Autoruns

Вы можете захватить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки. Вы захотите сделать это, прежде чем продолжить.

Замечания: Автозапускам не требуется запуск как администратор, но в реальности это имеет смысл просто сделать это, поскольку есть несколько функций, которые не будут работать иначе, и есть хорошая вероятность, что ваша вредоносная программа работает как администратор.

При первом запуске интерфейса вы увидите тонну вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке «Все по-умолчанию» все отображается с каждой вкладки, но она может быть немного запутанной и продолжительной, поэтому мы советуем просто просматривать каждую вкладку отдельно.

Стоит отметить, что по умолчанию Autoruns скрывает все, что встроено в Windows, и автоматически запускается. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем его.
Стоит отметить, что по умолчанию Autoruns скрывает все, что встроено в Windows, и автоматически запускается. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем его.

Отключение элементов

Чтобы отключить любой элемент в списке, вы можете просто снять этот флажок. Это все, что вам нужно сделать, просто просмотрите список и удалите все, что вам не нужно, перезагрузите компьютер и снова запустите его, чтобы убедиться, что все в порядке.

Замечания:некоторые вредоносные программы будут постоянно отслеживать местоположения, в которых они запускают автозапуск, и немедленно вернут это значение. Вы можете использовать клавишу F5 для повторного сканирования и посмотреть, не вернулась ли какая-либо из записей после их отключения. Если один из них появился снова, вы должны использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать ее здесь.

Цвета

Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:

  • розовый - это означает, что информация об издателе не была найдена или если проверка кода включена, означает, что цифровая подпись либо не существует, либо не соответствует, либо нет информации для издателя.
  • зеленый - этот цвет используется при сравнении с предыдущим набором данных Autoruns, чтобы указать элемент, который не был в последний раз.
  • желтый - есть запись запуска, но файл или задание, на которые он указывает, больше не существует.

Также как и большинство инструментов SysInternals, вы можете щелкнуть правой кнопкой мыши по любой записи и выполнить ряд действий, включая переход к записи или изображению (фактический файл в проводнике). Вы можете искать в Интернете имя процесса или данные в столбце, просмотреть подробные свойства или посмотреть, работает ли эта запись, выполнив быстрый поиск через Process Explorer, хотя многие процессы имеют загрузчик, который затем запускает что-то еще до выход, так что только потому, что эта функция не показывает никаких результатов, ничего не значит.

Если вы нажмете «Перейти к записи», вы сразу же перейдете к редактору реестра, где вы увидите этот конкретный раздел реестра и осмотрите его. Если запись была чем-то другим, вы могли бы перейти к другой утилите, например, планировщику заданий.Реальность такова, что большую часть времени Autoruns отображает всю ту же информацию прямо в интерфейсе, поэтому вам обычно не нужно беспокоиться, если вы не хотите больше узнать.
Если вы нажмете «Перейти к записи», вы сразу же перейдете к редактору реестра, где вы увидите этот конкретный раздел реестра и осмотрите его. Если запись была чем-то другим, вы могли бы перейти к другой утилите, например, планировщику заданий.Реальность такова, что большую часть времени Autoruns отображает всю ту же информацию прямо в интерфейсе, поэтому вам обычно не нужно беспокоиться, если вы не хотите больше узнать.
В меню «Пользователь» вы можете проанализировать другую учетную запись пользователя, которая может быть действительно полезна, если вы загрузили автозапуск в другую учетную запись на том же компьютере. Стоит отметить, что вам, очевидно, нужно будет работать как администратор, чтобы видеть другие учетные записи пользователей на ПК.
В меню «Пользователь» вы можете проанализировать другую учетную запись пользователя, которая может быть действительно полезна, если вы загрузили автозапуск в другую учетную запись на том же компьютере. Стоит отметить, что вам, очевидно, нужно будет работать как администратор, чтобы видеть другие учетные записи пользователей на ПК.
Image
Image

Проверка подписи кода

В пункте «Параметры фильтра» вы попадаете на панель параметров, где вы можете выбрать один очень полезный вариант: «Проверить подписи кода». Это проверит, чтобы убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразите результаты прямо в окне. Вы заметите, что все элементы розового на скриншоте ниже не подтверждены или информация издателя не существует.

И для дополнительного кредита вы можете заметить, что этот снимок экрана ниже того же самого, что и в начале, за исключением того, что один из элементов в списке не отмечен как розовый. Разница заключается в том, что по умолчанию без включения параметра Подписи кодов подписи Autoruns будет уведомлять вас только о розовой строке, если информация о издателе отсутствует.

Image
Image

Анализ автономной системы (как при подключении жесткого диска к другому ПК)

Представьте, что компьютер вашего друга полностью перепутался и либо не загружается, либо просто загружается так медленно, что вы не можете его использовать. Вы пробовали безопасный режим и параметры восстановления, такие как System Restore, но это не имеет значения, потому что это непригодно.

Вместо того, чтобы вытащить карту «переустановить», которая часто является «картой« сдачи », вы можете вытащить жесткий диск и подключить его к компьютеру или ноутбуку с помощью удобной док-станции для жесткого диска USB. У вас есть один, не так ли? Затем вы просто загружаете автозапуск и переходите в меню Файл -> Анализ автономной системы.

Найдите, чтобы найти каталог Windows на другом жестком диске и профиль пользователя пользователя, который вы пытаетесь диагностировать, и нажмите «ОК», чтобы начать.
Найдите, чтобы найти каталог Windows на другом жестком диске и профиль пользователя пользователя, который вы пытаетесь диагностировать, и нажмите «ОК», чтобы начать.
Разумеется, вам нужен доступ на запись к диску, потому что вы захотите сохранить настройки, чтобы удалить все глупости, которые вы в итоге найдете.
Разумеется, вам нужен доступ на запись к диску, потому что вы захотите сохранить настройки, чтобы удалить все глупости, которые вы в итоге найдете.

Сравнение с другим ПК (или предыдущей чистой установкой)

Параметр File -> Compare кажется неописуемым, но он может быть одним из самых мощных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или для сравнения с известным чистым ПК.

Чтобы использовать эту функцию, просто загрузите автозапуск на ПК, который вы пытаетесь проверить, или используя автономный режим, который мы описали ранее, затем перейдите в Файл -> Сравнить. Все, что было добавлено после сравнения версии файла, будет ярко-зеленым. Это так просто. Чтобы сохранить новую версию, вы должны использовать опцию File -> Save.

Если вы действительно хотите быть профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить ее на флеш-накопитель, чтобы взять с собой. Сохраните новую версию каждый раз, когда вы прикасаетесь к ПК в первый раз, чтобы убедиться, что вы можете быстро определить все новые crapware, добавленные владельцем.
Если вы действительно хотите быть профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить ее на флеш-накопитель, чтобы взять с собой. Сохраните новую версию каждый раз, когда вы прикасаетесь к ПК в первый раз, чтобы убедиться, что вы можете быстро определить все новые crapware, добавленные владельцем.

Глядя на вкладки

Как вы уже видели, Autoruns - это очень простая, но мощная утилита, которая, вероятно, может быть использована практически всеми. Я имею в виду, все, что вам нужно сделать, это снять флажок, не так ли? Однако полезно иметь дополнительную информацию о том, что означают все эти вкладки, поэтому мы попробуем вас обучить вас.

Следующая страница: вход в систему, запланированные задачи и захват изображений

Рекомендуемые:

Как исправить настройки браузера, измененные вредоносными программами или другими программами

Как исправить настройки браузера, измененные вредоносными программами или другими программами

Вредоносные программы, рекламное ПО и настойчивые программные установщики любят менять настройки вашего браузера, предоставляя вам новые домашние страницы, поисковые системы по умолчанию и неприятные панели инструментов. Легко забыть отключить эти параметры при установке программного обеспечения.

Использование автозапуска для ручной очистки зараженного ПК

Использование автозапуска для ручной очистки зараженного ПК

Есть много программ защиты от вредоносных программ, которые будут очищать вашу систему гадостей, но что произойдет, если вы не сможете использовать такую программу? Автозапуск от SysInternals (недавно приобретенный Microsoft) незаменим при удалении вредоносных программ вручную.

Все процессы во время запуска Windows с использованием автозапуска

Все процессы во время запуска Windows с использованием автозапуска

Очень классная утилита для анализа и отслеживания всего, что работает на вашем компьютере во время запуска, - это Autoruns. Эта удобная небольшая утилита отображает все запущенные на вашем компьютере при запуске. Конечно, вы можете использовать встроенную утилиту в Windows msconfig, но не получите полную картину с msconfig. Autoruns, с другой стороны, проведет и перечислит все, что работает, и порядок его запуска! Здесь я покажу вам разницу между MSCONGIG и программой Autorun

Использование рабочего пространства Windows Ink для личного опыта работы с Pen

Использование рабочего пространства Windows Ink для личного опыта работы с Pen

Узнайте, как использовать Windows Ink Workspace в Windows 10 для эффективного взаимодействия с вашим планшетным ПК, используя Sticky Notes, Screen Sketch & SketchPad.

Process Manager для Windows позволяет легко управлять процессами

Process Manager для Windows позволяет легко управлять процессами

Process Manager для Windows - это бесплатное программное обеспечение, которое позволяет вам убивать процессы, скрывать процессы, помнить о приоритете, удерживать сверху и больше с панели задач.