Mājas lapa » skolā » Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru

    Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru

    Lielākā daļa geeks ir izvēlējušies rīkoties, lai risinātu procesus, kas sākas automātiski, neatkarīgi no tā, vai tas ir MS Config, CCleaner vai pat Windows 8 uzdevumu pārvaldnieks - bet neviens no tiem nav tik spēcīgs kā Autoruns, kas ir arī mūsu Geek skolas nodarbība šodien.

    SKOLAS NAVIGĀCIJA
    1. Kādi ir SysInternals rīki un kā tos lietojat?
    2. Process Explorer izpratne
    3. Process Explorer izmantošana, lai novērstu un diagnosticētu
    4. Procesa monitora izpratne
    5. Procesa monitora izmantošana, lai novērstu un atrastu reģistra sistēmas
    6. Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru
    7. BgInfo izmantošana sistēmas informācijas parādīšanai darbvirsmā
    8. PsTools izmantošana citu datoru vadīšanai no komandrindas
    9. Failu, mapju un disku analīze un pārvaldīšana
    10. Rīku apvienošana un lietošana kopā

    Vecākajās dienās programmatūra automātiski sāksies, pievienojot ierakstu Starta mapei Startup mapē vai pievienojot vērtību reģistra poga Run, bet, tā kā cilvēki un programmatūra kļuva gudrāki, lai atrastu nevēlamus ierakstus un tos dzēstu , apšaubāmās programmatūras veidotāji sāka atrast veidus, kā iegūt arvien skaļāku.

    Šie ēnas crapware uzņēmumi sāka noskaidrot, kā automātiski ielādēt savu programmatūru, izmantojot pārlūkprogrammas palīgobjektus, pakalpojumus, draiverus, ieplānotus uzdevumus un pat dažus ārkārtīgi uzlabotus paņēmienus, piemēram, attēlu nolaupīšanu un AppInit_dlls.

    Pārbaudot katru no šiem nosacījumiem manuāli, tas nebūtu tikai laikietilpīgs, bet vidusmēra cilvēkam gandrīz neiespējami.

    Tas ir, kad Autoruns nāk un saglabā dienu. Protams, jūs varat izmantot procesa pārlūkprogrammu, lai skatītu procesu sarakstu un izgrieztu dziļi pavedienos un rokturos, un Process Monitor var noskaidrot, kādas reģistra atslēgas tiek atvērtas ar kādu procesu un parādot neticamus informācijas apjomus. Taču neviena no tām nepārtrauc crapware vai ļaunprātīgas programmatūras ielādi vēlreiz, kad nākamreiz startēsit datoru.

    Protams, gudra stratēģija būtu izmantot visus trīs kopā. Process Explorer redz, kas pašlaik darbojas un izmanto jūsu CPU un atmiņu, Process Monitor redz, ko lietojumprogramma dara zem pārsega, un tad Autoruns nāk, lai attīrītu lietas, lai viņi nenāk atpakaļ..

    Autoruns ļauj jums redzēt gandrīz katru lietu, kas tiek automātiski ielādēta jūsu datorā, un atspējojiet to tikpat viegli kā noklikšķinot uz izvēles rūtiņas. Tas ir neticami viegli lietojams un gandrīz pašsaprotams, izņemot dažas no ļoti sarežģītajām lietām, kas jums jāzina, lai saprastu, ko dažas cilnes patiesībā nozīmē. Tas ir tas, ko šī mācība mācīs.

    Darbs ar Autoruns saskarni

    Jūs varat paņemt Autoruns rīku no SysInternals tīmekļa vietnes tāpat kā visu pārējo un palaist to bez instalēšanas. Jūs to vēlaties darīt pirms turpināšanas.

    Piezīme: Autoruns neprasa darboties kā administratoram, bet reāli tas ir jēga tikai to darīt, jo ir dažas funkcijas, kas nedarbosies kā citādi, un ir laba iespēja, ka jūsu ļaundabīgās programmas darbojas arī kā administrators.

    Pirmo reizi palaižot saskarni, jūs redzēsiet vairākas cilnes un sarakstu ar lietām, kas tiek automātiski sāktas datorā. Noklusējuma Viss cilne parāda visu no katras cilnes, bet tā var būt nedaudz mulsinoša un ilgstoša, tāpēc mēs iesakām vienkārši iet caur katru cilni atsevišķi.

    Ir vērts atzīmēt, ka pēc noklusējuma Autoruns slēpj visu, kas ir iebūvēts sistēmā Windows, un iestatīts, lai tas automātiski sāktu. Varat iespējot šo vienumu rādīšanu opcijās, bet mēs to neiesakām.

    Vienumu atspējošana

    Lai atspējotu kādu no saraksta vienumiem, varat vienkārši noņemt izvēles rūtiņu. Tas ir viss, kas jums jādara, vienkārši dodieties cauri sarakstam un noņemiet visu, kas jums nav nepieciešams, pārstartējiet datoru un palaidiet to vēlreiz, lai pārliecinātos, ka viss ir labs.

    Piezīme: dažas ļaunprātīgas programmatūras nepārtraukti uzraudzīs atrašanās vietas, no kurām tās iedarbina automātisko palaišanu, un nekavējoties atjaunos vērtību. Jūs varat izmantot taustiņu F5, lai atkārtoti pārbaudītu un pārbaudītu, vai kāds no ierakstiem atgriezās pēc to atspējošanas. Ja kāds no tiem atkal parādīsies, izmantojiet programmu Process Explorer, lai apturētu vai nogalinātu šo ļaunprātīgo programmatūru, pirms to atspējojat šeit.

    Krasas

    Tāpat kā lielākā daļa SysInternals rīku, saraksta vienumi var būt dažādas krāsas, un šeit ir tas, ko tie nozīmē:

    • Rozā - tas nozīmē, ka izdevēja informācija netika atrasta, vai, ja ir ieslēgta koda verifikācija, nozīmē, ka ciparparaksts vai nu nepastāv, vai arī neatbilst publicētāja informācijai.
    • Zaļš - šī krāsa tiek izmantota, salīdzinot ar iepriekšējiem Autoruns datiem, lai norādītu vienumu, kas pēdējo reizi nebija tur.
    • Dzeltens - starta ieraksts ir tur, bet fails vai darbs, ko tas norāda, vairs nepastāv.

    Tāpat, tāpat kā lielākā daļa SysInternals rīku, varat ar peles labo pogu noklikšķināt uz jebkura ieraksta un veikt vairākas darbības, tostarp lekt uz ierakstu vai attēlu (faktiskais fails programmā Explorer). Jūs varat meklēt tiešsaistē, lai noskaidrotu procesa nosaukumu vai datus kolonnā, skatītu detalizētās īpašības vai skatītu, vai šis ieraksts darbojas, veicot ātru meklēšanu, izmantojot Process Explorer - lai gan daudziem procesiem ir iekraušanas iekārta, kas pirms tam sāk kaut ko citu iziet, tāpēc tikai tāpēc, ka šī funkcija nerāda rezultātus, nekas nenozīmē.

    Ja noklikšķinājāt uz Pārlēkt uz ierakstu, jūs pārvedīsit tieši uz reģistra redaktoru, kur var redzēt šo konkrēto reģistra atslēgu un aplūkot apkārt. Ja ieraksts bija kaut kas cits, jūs varētu tikt nogādāts citā lietderībā, piemēram, uzdevumu plānotāja. Realitāte ir tāda, ka lielāko daļu laika Autoruns parāda visu to pašu informāciju tieši saskarnē, tāpēc jums parasti nav jāuztraucas, ja vien vēlaties uzzināt vairāk.

    Izvēlne Lietotājs ļauj analizēt citu lietotāja kontu, kas var būt patiešām noderīgs, ja esat ielādējis Autoruns uz cita konta tajā pašā datorā. Ir vērts atzīmēt, ka jums, protams, vajadzētu darboties kā administratoram, lai redzētu citus lietotāja kontus datorā.

    Kodu parakstu pārbaude

    Izvēlnes elements Filtra opcijas ļauj nokļūt pie opciju paneļa, kurā var izvēlēties vienu ļoti noderīgu opciju: Pārbaudīt kodu parakstus. Tas pārbaudīs, lai pārliecinātos, ka katrs digitālais paraksts tiek analizēts un pārbaudīts, un parādīs rezultātus tieši logā. Jūs pamanīsiet, ka visi zemāk redzamajā attēlā esošie rozā elementi netiek pārbaudīti vai publicētāja informācija nepastāv.

    Un, lai iegūtu papildu kredītu, jūs varat pamanīt, ka zemāk redzamais ekrānuzņēmums ir gandrīz tāds pats kā sākums, izņemot to, ka viens no saraksta elementiem nav atzīmēts kā rozā. Atšķirība ir tāda, ka pēc noklusējuma bez Verify Code Signatures opcijas ieslēgšanas Autoruns brīdinās tikai ar rozā rindu, ja nav publicētāja informācijas.

    Analizējiet bezsaistes sistēmu (tāpat kā cietā diska pievienošanu citam datoram)

    Iedomājieties, ka jūsu drauga dators ir pilnīgi izjaukts un vai nu neiesaistīsies, vai arī vienkārši paliks tik lēni, ka jūs to nevarat izmantot. Jūs esat mēģinājuši izmantot drošā režīma un atkopšanas iespējas, piemēram, sistēmas atjaunošanu, taču tas nav svarīgi, jo tas nav izmantojams.

    Tā vietā, lai vilktu „pārinstalēt” karti, kas bieži vien ir tikai “es atdodu” karti, jūs varat izvilkt cieto disku un savienot to ar datoru vai klēpjdatoru ar savu ērto USB cietā diska dokstaciju. Jums ir viens, vai ne? Tad jūs vienkārši ielādējat Autoruns un dodieties uz Failu -> Analizēt bezsaistes sistēmu.

    Pārlūkojiet, lai atrastu Windows direktoriju otrā cietajā diskā, un lietotāja lietotāja profilu, kuru mēģināt diagnosticēt, un noklikšķiniet uz Labi, lai sāktu.

    Protams, jums būs nepieciešams piekļūt diska ierakstīšanai, jo jūs vēlaties saglabāt iestatījumus, lai noņemtu jebkādu muļķību, kuru jūs galu galā atradīsiet.

    Salīdzinot ar citu datoru (vai iepriekšējo tīrīšanas instalāciju)

    Izvēlne Fails -> Salīdzinājums šķiet nezināms, bet tas var būt viens no spēcīgākajiem veidiem, kā analizēt datoru un redzēt, kas ir pievienots kopš pēdējās skenēšanas reizes, vai salīdzināt ar zināmu tīru datoru..

    Lai izmantotu šo funkciju, vienkārši ielādējiet autorunus datorā, kuru mēģināt pārbaudīt, vai izmantojot iepriekš aprakstīto bezsaistes režīmu, tad dodieties uz failu -> Salīdzināt. Viss, kas ir pievienots kopš salīdzinātās faila versijas, parādīsies spilgti zaļā krāsā. Tas ir tik vienkārši. Lai saglabātu jaunu versiju, izmantojiet opciju Fails -> Saglabāt.

    Ja jūs patiešām vēlaties būt profesionāls, jūs varat saglabāt tīru konfigurāciju no jaunās Windows instalācijas un ievietot to zibatmiņas diskā, lai jūs kopā ar jums. Saglabājiet jaunu versiju katru reizi, kad pirmo reizi pieskaraties datoram, lai pārliecinātos, ka varat ātri identificēt visus jaunos crapware, ko īpašnieks ir pievienojis.

    Aplūkojot cilnes

    Kā jūs esat redzējis līdz šim, Autoruns ir ļoti vienkārša, bet spēcīga lietderība, ko, iespējams, varētu izmantot gandrīz ikviens. Es domāju, viss, kas jums jādara, ir noņemt izvēles rūtiņu, vai ne? Tomēr ir lietderīgi iegūt vairāk informācijas par visām šīm cilnēm, tāpēc mēs šeit centīsimies izglītot.

    Nākamā lapa: pieteikšanās, plānotie uzdevumi un attēlu nolaupīšana