Använda Autoruns att hantera startprocesser och skadlig kod
De flesta geeks har sitt eget verktyg för att hantera processer som startar automatiskt, oavsett om det är MS Config, CCleaner eller till och med Task Manager i Windows 8 - men ingen av dem är lika kraftfulla som Autoruns, vilket också är vår Geek School-lektion för i dag.
SCHOOL NAVIGATION- Vad är SysInternals Tools och hur använder du dem?
- Förstå Process Explorer
- Använda Process Explorer för att felsöka och diagnostisera
- Förstå Process Monitor
- Använda Process Monitor för att felsöka och hitta registerhackar
- Använda Autoruns att hantera startprocesser och skadlig kod
- Använda BgInfo för att visa systeminformation på skrivbordet
- Använda PsTools för att styra andra datorer från kommandoraden
- Analysera och hantera dina filer, mappar och enheter
- Förpackning och användning av verktygen tillsammans
Under de gamla dagarna skulle mjukvaran starta sig automatiskt genom att lägga till en post i Startup-mappen på Start-menyn eller lägga till ett värde i Run-knappen i registret, men eftersom människor och programvara blev mer kunniga när de hitta oönskade poster och raderar dem , skaparna av tvivelaktig mjukvara började hitta sätt att bli mer och mer lukta.
Dessa skumma crapware-företag började hitta ut hur man automatiskt laddar programvaran via webbläsarhjälpareobjekt, tjänster, drivrutiner, schemalagda uppgifter och till och med genom mycket avancerade tekniker som bildkapningar och AppInit_dlls.
Att kontrollera för var och en av dessa villkor manuellt skulle inte bara vara tidskrävande men nästan omöjligt att göra för den genomsnittliga personen.
Det är där Autoruns kommer in och sparar dagen. Visst kan du använda Process Explorer för att titta igenom processlistan och gräva djupt in i tråden och handtag, och Process Monitor kan ta reda på exakt vilka registernycklar som öppnas med vilken process och visar dig otroliga mängder information. Men ingen av dem hindrar crapware eller skadlig kod från att laddas igen nästa gång du startar datorn.
Naturligtvis skulle en smart strategi vara att använda alla tre tillsammans. Process Explorer ser vad som för närvarande körs och använder upp din CPU och minne, Process Monitor ser vad applikationen gör under huven och sedan kommer Autoruns att städa upp saker så att de inte kommer tillbaka.
Autoruns tillåter dig att se nästan varje enskild sak som laddas automatiskt på din dator, och inaktivera det så enkelt som att klicka på en kryssruta. Det är otroligt enkelt att använda, och nästan självförklarande, förutom några av de verkligen komplicerade sakerna du behöver veta för att förstå vad några av flikarna faktiskt betyder. Det är vad den här lektionen ska lära.
Arbeta med Autoruns-gränssnittet
Du kan få tag i Autoruns-verktyget från SysInternals webbplats, precis som resten, och kör det utan att installera. Du vill göra det innan du fortsätter.
Notera: Autoruns kräver inte att köra som administratör, men det är realistiskt att det är mest meningsfullt att bara göra det, eftersom det finns några funktioner som inte fungerar lika bra annars, och det finns en bra chans att din skadliga program också kör som administratör.
När du startar gränssnittet ser du en massa flikar och en lista över saker som startas automatiskt på din dator. Fliken Standard allt visar allt från varje flik, men det kan vara lite förvirrande och långvarigt, så vi rekommenderar att du bara går igenom varje flik separat.
Det är värt att notera att Autoruns som standard döljer allt som är inbyggt i Windows och inställt att starta automatiskt. Du kan aktivera visning av dessa objekt i alternativen, men vi rekommenderar inte det.
Inaktivera objekt
För att inaktivera något objekt i listan kan du bara ta bort kryssrutan. Det är allt du behöver göra, gå bara igenom listan och ta bort allt du inte behöver, starta om datorn och kör sedan igen för att försäkra dig om att allt är bra.
Notera: vissa skadliga program kommer ständigt att övervaka de platser där de utlöser autostart från och kommer omedelbart att sätta tillbaka värdet. Du kan använda F5-tangenten för att omskanna och se om någon av posterna kom tillbaka efter att de inaktiverats. Om en av dem visade sig igen ska du använda Process Explorer för att avbryta eller döda den skadliga programvaran innan du inaktiverar den här.
Färgerna
Liksom de flesta SysInternals-verktyg kan objekten i listan vara olika färger, och här är vad de menar:
- Rosa - det betyder att ingen utgivare information hittades eller om kodverifiering är på betyder att den digitala signaturen inte existerar eller inte matchar, eller det finns ingen utgivarinformation.
- Grön - Denna färg används när man jämför med en tidigare uppsättning Autoruns-data för att ange ett objekt som inte var där förra gången.
- Gul - uppstartsposten finns där, men filen eller jobbet som det pekar på existerar inte längre.
Precis som de flesta SysInternals-verktygen kan du högerklicka på någon post och utföra ett antal åtgärder, inklusive att hoppa till posten eller bilden (den faktiska filen i Utforskaren). Du kan söka online på namnet på processen eller data i kolumnen, se detaljerade egenskaper eller se om den här posten körs genom att göra en snabbsökning genom Process Explorer - även om många processer har en laddare som sedan startar något annat innan spännande, så bara för att funktionen visar inga resultat betyder inte någonting.
Om du klickade på Hoppa till inmatning kommer du rakt över till registret, där du kan se den specifika registernyckeln och titta runt. Om posten var något annat kan du bli till ett annat verktyg, som Task Scheduler. Verkligheten är att Autoruns för det mesta visar all samma information direkt i gränssnittet, så du behöver vanligtvis inte stör om du inte vill lära dig mer.
Användarmenyn kan du analysera ett annat användarkonto, vilket kan vara mycket användbart om du har laddat upp Autoruns på ett annat konto på samma dator. Det är värt att notera att du självklart måste köra som administratör för att se andra användarkonton på datorn.
Verifierande kodsignaturer
Menyalternativet Filteralternativ tar dig till en alternativpanel där du kan välja ett mycket användbart alternativ: Verifiera kodsignaturer. Detta kontrollerar att varje digital signatur analyseras och verifieras och visar resultaten direkt i fönstret. Du märker att alla objekt i rosa på skärmdumpen nedan inte är verifierade eller att utgivarinformationen inte existerar.
Och för extra kredit kan du märka att den här skärmdumpen nedan är nästan densamma som den som ligger nära början, förutom i den här några av objekten i listan där den inte är märkt som rosa. Skillnaden är att som standard utan att Verify Code Signatures-alternativet aktiveras, kommer Autoruns bara att varna dig med den rosa raden om det inte finns någon utgivarinformation.
Analysera ett offline-system (som om du kopplar in en hårddisk till en annan dator)
Tänk dig att din väns dator är helt rubbad och inte heller startar eller bara stövlar så långsamt att du inte kan använda den. Du har försökt säkert läge och återställningsalternativ som Systemåterställning, men det spelar ingen roll eftersom det är oanvändbart.
I stället för att dra "återinstallera" -kortet, vilket ofta bara är "Jag ger upp" -kortet, kan du dra ut hårddisken och anslut den till din dator eller bärbar dator med din praktiska USB-hårddiskdocka. Du har en, eller hur? Då laddar du bara upp Autoruns och går till Arkiv -> Analysera Offline System.
Bläddra för att hitta Windows-katalogen på den andra hårddisken och användarprofilen för den användare du försöker diagnostisera och klicka på OK för att starta.
Du behöver naturligtvis skrivåtkomst till enheten, eftersom du vill spara inställningarna för att ta bort vad som helst som du hamnar i.
Jämförande mot en annan dator (eller tidigare ren installation)
Alternativet File -> Compare verkar inte beskrivet, men det kan vara ett av de mest kraftfulla sätten att analysera en dator och se vad som har lagts till sedan senaste gången du skannade eller att jämföra med en känd ren dator.
För att använda den här funktionen laddar du bara upp Autoruns på datorn som du försöker inspektera, eller använder det offline-läget som vi beskrev tidigare och sedan till File -> Compare. Allt som har lagts till sedan den jämförda filversionen kommer att dyka upp i ljusgrön. Så enkelt är det. För att spara en ny version, använder du alternativet Arkiv -> Spara.
Om du verkligen vill vara en proffs kan du spara en ren konfiguration från en ny installation av Windows och lägga den på en flash-enhet för att ta med dig. Spara en ny version varje gång du rör en dator för första gången för att se till att du snabbt kan identifiera alla nya crapware som ägaren har lagt till.
Titta på flikarna
Som du har sett hittills är Autoruns ett mycket enkelt men kraftfullt verktyg som förmodligen kan användas av nästan alla. Jag menar, allt du behöver göra är att avmarkera en låda, eller hur? Det är dock användbart att ha lite mer information om vad alla dessa flikar betyder, så vi ska försöka utbilda dig här.
Nästa sida: Inloggning, Schemalagda uppgifter och Bildkapning