Windows官方清理工具Autoruns介绍

Windows官方清理工具Autoruns介绍

我是在寻找删除阿里的alipaladin64.sys文件和服务过程中了解到Autoruns 工具的。阿里、腾讯、360这些互联网巨头,从一开始就利用自身在技术方面的优势,在发行的各种软件里埋下种种用户并不知情的后台服务,并且通过种种做法让这些软件根深蒂固的在用户系统中运行,一旦安装就无法卸载、无法删除,用户对这样的流氓行径毫无办法。在安装阿里系的软件时,阿里会自动安装一个被称为ali protect的“安全”流氓软件,这一软件与windows的安全策略并不兼容,可能导致内存泄露或者为黑客的侵入提供途径,因此,我需要将其卸载,在艰难的卸载过程中,我找到了autoruns工具。

Windows官方提供的Autoruns工具,从字面来看很难理解其用途,因为直接翻译为“自动运行”,听上去好像是实现程序自动化运行的工具,但实际上,微软提供的这一款工具(Windows Sysinternals Autoruns For Windows)是用来查看、监视以及禁用自启动程序的最佳工具之一。通常,通过任务管理器或者Msconfig命令可以看到windows操作系统下自动运行的程序,但msconfig只显示启动和服务,并不检查数字签名,因此恶意程序很容易绕过msconfig隐藏起来。

Autoruns不仅仅显示在startup文件夹下的自动启动程序,也会显示通过Run/RunOnce或者其他注册表项实现自动启动的程序,也会详细显示文件管理器和IE扩展、工具栏、上下文菜单、驱动程序、服务、Winlogon项目乃至编解码器甚至Winsocks提供的程序等等,简言之,Autoruns几乎监控了windows系统下所有程序和启动项以供管理。

Autoruns可以显示的具体条目包括:

  • 登录。(Logon.) 此条目会扫描标准自动启动位置,例如当前用户和所有用户的启动文件夹、(Startup)运行注册表(Run Registry)项和标准应用程序启动位置。
  • 探险家。(Explorer.) 此条目显示Explorer shell 扩展、浏览器帮助对象、资源管理器工具栏、活动设置执行和 shell 执行挂钩。
  • IE浏览器。(Internet Explorer.) 此条目显示浏览器帮助程序对象(Browser Helper Objects)(BHO)、Internet Explorer工具栏和扩展。
  • 服务。(Services.)它显示所有配置为在系统启动时自动启动的Windows服务。(Windows)
  • 司机。(Drivers.)这将显示系统上注册的所有内核模式驱动程序,但禁用的驱动程序除外。
  • 计划任务。(Scheduled Tasks.) 任务(Task)计划程序任务配置为在引导或登录时启动。
  • AppInit DLL。(AppInit DLLs.) 这有 Autoruns 显示 注册为应用程序初始化DLL的(DLLs)DLL(DLLs)。
  • 启动 执行(Boot Execute)在启动过程早期运行的本机映像(与Windows映像相反)。(Windows)
  • 图像劫持(Image Hijacks) 图像文件执行选项和命令提示符自动启动。
  • 已知的 DLL。(Known DLLs.) 这会报告 Windows 加载到引用它们的应用程序中的DLL的位置。(DLLs)
  • Winlogon 通知。(Winlogon Notifications.) 显示注册登录事件的Winlogon通知的DLL 。(Shows DLLs)
  • Winsock 提供商。(Winsock Providers.) 显示已注册的Winsock 协议,包括Winsock 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商,因为很少有工具可以删除它们。自动运行可以禁用它们,但不能删除它们。
  • LSA 提供者。(LSA Providers.) 显示(Shows)注册本地安全机构(Local Security Authority)( LSA ) 身份验证、通知和安全包。
  • 打印机监视器驱动程序。(Printer Monitor Drivers.) 显示 加载到后台打印服务中的DLL 。(DLLs)恶意软件(Malware)已使用此支持自动启动自身。
  • 侧边栏。(Sidebar.)显示 Windows 边栏小工具。

通过单击Autoruns.exe打开此实用程序。从Options > Filter选项中,您可能希望首先选择验证代码签名(Verify Code Signatures)和隐藏签名的 Microsoft 条目(Hide Signed Microsoft Entries)。检查这两个并点击重新扫描(Rescan) 按钮或 F5 以刷新扫描。

如果您不想在下次启动或登录时激活某个条目,您可以禁用或删除它。要禁用条目,请取消选中它。要删除它,请右键单击该条目并选择Delete。

如果您分别选择Jump to Entry或Jump to Image ,右键菜单还可以让您直接跳转到Windows Registry中的相关注册表位置,或File Explorer中的文件。

下载包还包括一个可以以CSV格式输出的等效命令行Autorunsc.exe。

Autoruns 不仅会通过加密签名验证加载到Windows中的所有内容的真实性,而且还会识别已被篡改的文件。使用隐藏所有 Microsoft 条目(Hide all the Microsoft entries),您还可以发现可能不需要或危险的条目、Crapware和已添加到您的系统的第三方自动启动图像,并使用这个出色的工具轻松禁用它。

自动运行的 “隐藏已签名的 Microsoft 条目 ”选项可帮助你放大已添加到系统的第三方自动启动映像,并支持查看为系统上配置的其他帐户配置的自动启动映像。 下载包中还包括一个命令行等效项,可以采用 CSV 格式 Autorunsc 输出。

通过微软官方的工具的下载地址可以下载该工具。

作者
魏智勇(John)
加入讨论

此站点使用 Akismet 来减少垃圾评论。了解我们如何处理您的评论数据

魏智勇(John)

站长,80后,创业者,擅长工业自动化与信息化技术,熟悉各种PLC,组态软件,熟悉计算机技术,熟悉LabVIEW、C,C#,JavaScript程序设计技术。

%d 博主赞过: