- A+
一、概述
主要功能:
1.检查开机自动加载的所有程序(硬件驱动程序,windows核心启动程序和应用程序);
2.右键可以直接删除对应的注册表项目菜单上的项目,包括了启动,服务,驱动,解码等等。
下载链接:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
二、界面结构
三、使用说明
解压后管理员权限运行
3.1 颜色标识
•粉红色:表示该条目对应的应用没有数字签名、签名不匹配或没有发行商信息;
•黄色:表示该启动条目对应的文件已经不存在了。
3.2 计划任务排查
检查计划任务中可疑项(Publisher下的粉色标注、无签名等)
根据需要,可隐藏部分信任项,勾选后刷新;
确认为恶意后,右键delete
3.3 服务排查
排查思路与计划任务相似,检查Services下的可疑项。
3.4 WMI
WMI支持以下几种类型的事件消费者,运行在特定事件发生时, 执行一个可执行文件,或者vb、js脚本文件。
攻击者可通过powershell来使用WMI,下图为恶意WMI,可通过base64解码查看具体内容(base64解码可百度base64站长工具)
解码后看到相关恶意内容
3.5 安全识别
Autoruns 内置了启动条目的安全识别功能,我们可以在 Optione(选项)— Scan Options(扫描选项) 中进行选择是否需要启用。
Verify code signatures:验证代码签名
Check VirusTotal.com:到 VirusTotal.com 网站上去验证启动项对应的程序是否安全。
打开之后我们将可以看到应用程序的签名是否验证成功以及 VirusTotal 的验证日期和状态。
3.6 功能右键
- 跳转到注册表值
- 跳转到该程序在硬盘上的位置
- 在线搜索该应用程序
- 直接打开该启动项对应程序的属性
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
