该实用程序具有任何启动监视器的自动启动位置的最全面的知识,可向您显示哪些程序配置为在系统启动或登录期间运行,以及当您启动各种内置Windows应用程序(如Internet Explorer,Explorer和媒体播放器)时。这些程序和驱动程序包括启动文件夹、RunOnce 和其他注册表项中的程序和驱动程序。自动运行报告资源管理器 shell 扩展、工具栏、浏览器帮助程序对象、Winlogon 通知、自动启动服务等等。自动运行远远超出了其他自动启动实用程序。

自动运行的“隐藏已签名的 Microsoft 条目”选项可帮助您放大已添加到系统中的第三方自动启动映像,并且它支持查看为系统上配置的其他帐户配置的自动启动映像。下载包中还包括一个命令行等效项,可以以 CSV 格式自动输出。

当服务器被攻击后,基本都会留下后门,木马程序等,维护人员就需要找到他们并清除。 而对于木马后门,都需要有一个加载选项,例如直接以程序文件的形式运行,插入其他进程中运行,以服务的形式加载,以activex控件形式加载等。

随后木马病毒肯定会访问网络,从我们检查角度一般需要对运行的进程、启动的加载项、端口连接等方面进行。

使用方法:

打开autoruns后会看到everything栏,此栏列出了自动启动项,如下图。

木马程序是没有数字签名的,我们可以多关注其description和publisher栏,如果都为空,而又不确定是否为木马程序,则可以选中右键search online进行在线搜索,个人认为如果搜索没有相应的名称结果,则木马可能性比较大,毕竟攻击者随意为木马取个名称是搜不出的。

切换到logon栏列出了登录加载项,查看和排除方式与everything类似,autoruns对于木马常用的加载都有列出,everything启动加载,logon登录加载,explorer windows管理器加载,ie浏览器加载,scheduled tasks定时任务加载,services服务加载,drivers设备加载等。

确认木马病毒后可右键选择删除。

声明:
本站所有文章,如无特殊说明或标注,均为本站原创发布。
任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。