Utilizzo di Autoruns per gestire i processi di avvio e il malware

Sommario:

Utilizzo di Autoruns per gestire i processi di avvio e il malware
Utilizzo di Autoruns per gestire i processi di avvio e il malware

Video: Utilizzo di Autoruns per gestire i processi di avvio e il malware

Video: Utilizzo di Autoruns per gestire i processi di avvio e il malware
Video: ALAN WATTS: IL LIBRO sui tabù che ci vietano la conoscenza di ciò che veramente siamo - AUDIOLIBRO - YouTube 2024, Novembre
Anonim
La maggior parte dei geek ha il suo strumento di scelta per gestire i processi che si avviano automaticamente, che sia MS Config, CCleaner o anche Task Manager in Windows 8 - ma nessuno di questi è potente come Autoruns, che è anche la lezione della nostra Geek School per oggi.
La maggior parte dei geek ha il suo strumento di scelta per gestire i processi che si avviano automaticamente, che sia MS Config, CCleaner o anche Task Manager in Windows 8 - ma nessuno di questi è potente come Autoruns, che è anche la lezione della nostra Geek School per oggi.

NAVIGAZIONE SCOLASTICA

  1. Quali sono gli strumenti di SysInternals e come li usi?
  2. Capire Process Explorer
  3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
  4. Comprensione del monitor di processo
  5. Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
  6. Utilizzo di Autoruns per gestire i processi di avvio e il malware
  7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
  8. Usare PsTools per controllare altri PC dalla riga di comando
  9. Analisi e gestione di file, cartelle e unità
  10. Avvolgimento e utilizzo degli strumenti insieme

Nei tempi antichi, il software si avvia automaticamente aggiungendo una voce nella cartella Esecuzione automatica nel menu Start o aggiungendo un valore nella chiave Esegui nel registro, ma man mano che le persone e il software diventano più esperti nel trovare le voci indesiderate e cancellarle, i creatori di software discutibile hanno iniziato a cercare modi per diventare sempre più subdoli.

Queste società losche di crapware hanno iniziato a capire come caricare automaticamente il loro software attraverso gli oggetti helper del browser, i servizi, i driver, le attività pianificate e anche attraverso alcune tecniche estremamente avanzate come i dirottamenti di immagini e le appInit_dlls.

Il controllo manuale di ciascuna di queste condizioni non solo richiederebbe molto tempo, ma sarebbe quasi impossibile da fare per la persona media.

Ecco dove entra Autoruns e salva la giornata. Certo, è possibile utilizzare Process Explorer per esaminare l'elenco dei processi e scavare in profondità in thread e handle e Process Monitor è in grado di capire esattamente quali chiavi del Registro di sistema vengono aperte da quale processo e mostrano una quantità incredibile di informazioni. Ma nessuno dei due blocca crapware o malware da caricare nuovamente al prossimo avvio del PC.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Autoruns ti permette di vedere quasi ogni singola cosa che viene caricata automaticamente sul tuo computer, e disabilitarla facilmente come fare clic su una casella di controllo. È incredibilmente facile da usare e quasi autoesplicativo, ad eccezione di alcune delle cose davvero complicate che devi sapere per capire cosa significano realmente alcune schede. Questo è ciò che questa lezione insegnerà.

Funzionando con l'interfaccia di Autoruns

Puoi prendere lo strumento Autoruns dal sito web SysInternals come tutto il resto ed eseguirlo senza installarlo. Avrai voglia di farlo prima di procedere.

Nota: Autoruns non richiede l'esecuzione come amministratore, ma realisticamente ha più senso farlo, poiché ci sono alcune funzionalità che altrimenti non funzioneranno altrimenti, e c'è una buona probabilità che il malware sia in esecuzione anche come amministratore.

Quando avvii per la prima volta l'interfaccia, vedrai una tonnellata di schede e un elenco di cose che vengono avviate automaticamente sul tuo computer. La scheda Tutto predefinita mostra tutto da ogni scheda, ma può essere un po 'confusa e lunga, quindi consigliamo di passare attraverso ogni scheda separatamente.

Vale la pena notare che per impostazione predefinita, Autoruns nasconde tutto ciò che è incorporato in Windows e impostato per l'avvio automatico. Puoi abilitare la visualizzazione di tali elementi nelle opzioni, ma non lo consigliamo.
Vale la pena notare che per impostazione predefinita, Autoruns nasconde tutto ciò che è incorporato in Windows e impostato per l'avvio automatico. Puoi abilitare la visualizzazione di tali elementi nelle opzioni, ma non lo consigliamo.

Disabilitazione degli articoli

Per disabilitare qualsiasi elemento nell'elenco, è sufficiente rimuovere la casella di controllo. È tutto ciò che devi fare, basta scorrere l'elenco e rimuovere tutto ciò che non ti serve, riavviare il computer, quindi eseguirlo di nuovo per assicurarsi che tutto sia funzionante.

Nota:alcuni malware monitoreranno costantemente le posizioni in cui attivano l'avvio automatico e restituiranno immediatamente il valore. È possibile utilizzare il tasto F5 per eseguire nuovamente la scansione e verificare se una delle voci è tornata dopo averle disabilitate. Se uno di questi si presentasse di nuovo, dovresti usare Process Explorer per sospendere o uccidere quel malware prima di disabilitarlo qui.

I colori

Come la maggior parte degli strumenti di SysInternals, gli elementi nell'elenco possono essere di colori diversi, ed ecco cosa significano:

  • Rosa - Ciò significa che non è stata trovata alcuna informazione dell'editore, o se la verifica del codice è attiva, significa che la firma digitale non esiste o non corrisponde, o non ci sono informazioni sull'editore.
  • verde - questo colore è usato quando si confronta con un precedente set di dati Autoruns per indicare un oggetto che non c'era l'ultima volta.
  • Giallo - la voce di avvio è lì, ma il file o il lavoro a cui punta non esiste più.

Inoltre, proprio come la maggior parte degli strumenti di SysInternals, puoi fare clic con il pulsante destro del mouse su qualsiasi voce ed eseguire una serie di azioni, tra cui il salto alla voce o all'immagine (il file effettivo in Explorer). Puoi cercare online il nome del processo o i dati nella colonna, vedere le proprietà dettagliate, o vedere se quella voce è in esecuzione facendo una ricerca rapida attraverso Process Explorer - anche se molti processi hanno un caricatore che poi lancia qualcos'altro prima uscire, quindi solo perché quella funzione non mostra risultati non significa nulla.

Se hai fatto clic su Jump to Entry, verrai indirizzato direttamente all'Editor del Registro di sistema, dove potrai vedere quella particolare chiave di registro e guardarti intorno. Se la voce era qualcos'altro, potreste essere portati a un'utilità diversa, come l'Utilità di pianificazione.La realtà è che la maggior parte delle volte, Autoruns mostra tutte le stesse informazioni direttamente nell'interfaccia, quindi di solito non devi preoccuparti se non vuoi saperne di più.
Se hai fatto clic su Jump to Entry, verrai indirizzato direttamente all'Editor del Registro di sistema, dove potrai vedere quella particolare chiave di registro e guardarti intorno. Se la voce era qualcos'altro, potreste essere portati a un'utilità diversa, come l'Utilità di pianificazione.La realtà è che la maggior parte delle volte, Autoruns mostra tutte le stesse informazioni direttamente nell'interfaccia, quindi di solito non devi preoccuparti se non vuoi saperne di più.
Il menu Utente ti consente di analizzare un account utente diverso, che può essere davvero utile se hai caricato Autoruns su un account diverso sullo stesso computer. Vale la pena notare che ovviamente dovresti essere in esecuzione come amministratore per vedere altri account utente sul PC.
Il menu Utente ti consente di analizzare un account utente diverso, che può essere davvero utile se hai caricato Autoruns su un account diverso sullo stesso computer. Vale la pena notare che ovviamente dovresti essere in esecuzione come amministratore per vedere altri account utente sul PC.
Image
Image

Verifica delle firme dei codici

La voce di menu Opzioni filtro ti porta in un riquadro delle opzioni in cui puoi selezionare un'opzione molto utile: Verifica le firme dei codici. Ciò verificherà che ogni firma digitale sia analizzata e verificata e visualizzi i risultati direttamente nella finestra. Noterai che tutti gli elementi in rosa nello screenshot qui sotto non sono verificati o che le informazioni dell'editore non esistono.

E per un credito extra, potresti notare che questa schermata di seguito è quasi la stessa di quella vicina all'inizio, tranne che in quella parte degli elementi nell'elenco in cui non è indicato come rosa. La differenza è che per impostazione predefinita, senza l'opzione Verifica firme di codice attivata, Autoruns ti avviserà solo con la riga rosa se non esistono informazioni sull'editore.

Image
Image

Analizzare un sistema offline (come in Collegamento di un disco rigido a un altro PC)

Immagina che il computer del tuo amico sia completamente incasinato e che non si avvii o che si avvii così lentamente che non puoi davvero usarlo. Hai provato la modalità sicura e le opzioni di ripristino come Ripristino configurazione di sistema, ma non importa perché è inutilizzabile.

Piuttosto che tirare la scheda "reinstall", che spesso è solo la scheda "I give up", puoi tirare fuori il disco rigido e collegarlo al tuo PC o laptop con il tuo pratico dock USB. Ne hai uno, giusto? Quindi basta caricare Autoruns e andare su File -> Analizza il sistema offline.

Esplorare per trovare la directory di Windows sull'altro disco rigido e il profilo utente dell'utente che si sta tentando di diagnosticare e fare clic su OK per iniziare.
Esplorare per trovare la directory di Windows sull'altro disco rigido e il profilo utente dell'utente che si sta tentando di diagnosticare e fare clic su OK per iniziare.
Avrai bisogno di accedere in scrittura al disco, ovviamente, perché vorrai salvare le impostazioni per rimuovere qualsiasi assurdità che finisci per trovare.
Avrai bisogno di accedere in scrittura al disco, ovviamente, perché vorrai salvare le impostazioni per rimuovere qualsiasi assurdità che finisci per trovare.

Confronto con un altro PC (o precedente installazione pulita)

L'opzione File -> Confronta sembra non descrittiva, ma può essere uno dei modi più potenti per analizzare un PC e vedere cosa è stato aggiunto dall'ultima scansione o per confrontarlo con un PC pulito noto.

Per utilizzare questa funzione, è sufficiente caricare Autoruns sul PC che si sta tentando di ispezionare o utilizzare la modalità Offline descritta in precedenza, quindi andare su File -> Confronta. Tutto ciò che è stato aggiunto dopo la versione del file confrontato verrà visualizzato in verde brillante. E 'così semplice. Per salvare una nuova versione, devi utilizzare l'opzione File -> Salva.

Se vuoi davvero essere un professionista, puoi salvare una configurazione pulita da una nuova installazione di Windows e metterla su un'unità flash da portare con te. Salva una nuova versione ogni volta che tocchi un PC per la prima volta per assicurarti di poter identificare rapidamente tutti i nuovi crapware aggiunti dal proprietario.
Se vuoi davvero essere un professionista, puoi salvare una configurazione pulita da una nuova installazione di Windows e metterla su un'unità flash da portare con te. Salva una nuova versione ogni volta che tocchi un PC per la prima volta per assicurarti di poter identificare rapidamente tutti i nuovi crapware aggiunti dal proprietario.

Guardando le schede

Come hai visto finora, Autoruns è un'utilità molto semplice ma potente che potrebbe probabilmente essere utilizzata da quasi nessuno. Voglio dire, tutto quello che devi fare è deselezionare una casella, giusto? Tuttavia, è utile avere ulteriori informazioni su cosa significano tutte queste schede, quindi cercheremo di istruirti qui.

Pagina successiva: accesso, attività pianificate e dirottamento dell'immagine

Consigliato:

Utilizzo di Utilità di pianificazione per l'esecuzione di processi successivi

Utilizzo di Utilità di pianificazione per l'esecuzione di processi successivi

In questa edizione di Geek School, ti spiegheremo l'utilissima utilità di Utilità di pianificazione che Windows utilizza dietro le quinte per fare ogni sorta di cose.

Vedi tutti i processi durante l'avvio di Windows usando Autoruns

Vedi tutti i processi durante l'avvio di Windows usando Autoruns

Un'utilità molto utile per analizzare e tenere traccia di tutto ciò che è in esecuzione sul tuo computer durante l'avvio è Autoruns. Questa pratica piccola utility visualizza tutto ciò che è in esecuzione sul tuo computer all'avvio. Certo, è possibile utilizzare l'utilità integrata in "msconfig" di Windows, tuttavia non si ottiene l'immagine completa con msconfig. D'altra parte, le autoruns passeranno ed elencheranno tutto ciò che è in esecuzione e l'ordine in cui s

Avvio sicuro: rivedere, gestire, controllare le applicazioni di avvio di Windows

Avvio sicuro: rivedere, gestire, controllare le applicazioni di avvio di Windows

Safe Startup o Startup Guard è un software gratuito che ti consente di gestire, controllare, rimuovere, disabilitare le applicazioni che si avviano automaticamente con Windows. Scaricalo gratis.

Process Manager per Windows consente di gestire facilmente i processi

Process Manager per Windows consente di gestire facilmente i processi

Process Manager per Windows è un programma gratuito che ti consente di eliminare i processi, nascondere processi, ricordare priorità, tenere in primo piano e altro dalla barra delle applicazioni.

Avvio protetto, avvio affidabile, avvio misurato in Windows 10/8

Avvio protetto, avvio affidabile, avvio misurato in Windows 10/8

Utilizzando Measured Boot, Windows può ulteriormente convalidare il processo di avvio oltre Secure Boot. I processi di avvio sono archiviati nel chip TPM per prevenire l'infezione da rootkit o malware.