p> 下面简单介绍一下各标签的含义:
“全部”--顾名思义,全部的开机自启动项都在这个标签下啦。另外,它也是双击autoruns.exe弹出窗口缺省定位的标签,包括其他标签的所有内容。
“登陆”- -细心的朋友可以发现,该标签下HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun、HKCU SoftwareMicrosoftWindowsCurrentVersionRun这两个
注册表子项的内容与系统配置实用程序“启动”标签下打勾的项目是完全一样的,甚至“登陆”的图标也和系统配置实用程序MSCONFIG.EXE的图标完全相同,呵呵!当然,除了以上项目外,该标签还包括 HKLMSystemCurrentControlSetControlTerminal ServerWdsrdpwdStartupPrograms、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell这三个自启动子项的内容,这些是用系统配置实用程序“启动”标签看不到的内容。
“资源管理器”:对应资源管理器在
注册表上的子项和值项。
“英特网浏览器”:对应的是IE所有浏览器帮助对象(BHO)、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和
注册表值项值。
“计划任务”:和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的,一般为空。
“服务”:即HKLMSystemCurrentControlSetServices对应的开机自启动服务的项目。由于具备开机自启动功能,而且依靠ROOTKIT技术可以隐蔽运行,所以是病毒(流氓软件)最爱光临的地方。
“驱动”:即HKLMSystemCurrentControlSetServices对应的开机自启动驱动程序的项目。同上,又一个病毒经常光临的乐园。
“启动执行”:在系统登陆前启动的本地映像文件(即WINDOWS映像文件的对称)及自启动项的情况。形象地理解一下,就是貌似瑞星的系统登陆前扫描这样的自启动项。
“映像劫持”:在此标签下的内容对应的应用程序,开机后即被系统强制劫持而不能运行(就是我们经常说的IFEO,即系统自带的应用程序映像劫持功能)。
“APPINIT”:初始化动态链接库,其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外,一般此项目应为空。
“KNOWNDLLS”:系统中已知的DLL文件。
“WINLOGON”:WINLOGON登陆项对应的自启动
注册表子项及值项。
“WINSOCK提供商”:显示已注册的WINSOCK协议,包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容,恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容,但不能禁用他们。
“打印监视器”:显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。
“LSA提供商”: LSA的全称为“Local Security Authority”——本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从 Winlogon.exe中获取用户的账号和密码,然后经过密钥机制处理,并和存储在账号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。
下面该进入正题了。之前,我们需要一一了解该软件窗口下菜单栏的用法,讲解菜单功能之前,先统一一下思想:本软件窗口项目列表中灰色的部分,我这里叫自启动子项(不能也不允许你删除,不能使用“验证”、“属性”菜单功能,想想这应该是当然的罗),白色的部分,我称之为自启动值项,记住了!
一、主要功能菜单的介绍:
(一)“文件”
该菜单项目的下拉菜单项目包括:
1、“查找”:可以用来查找和定位包含输入字段的所有自启动子项和值项。比较实用的功能。
2、 “比较”:用于比较当前状态和以前保存过的日志的差异并设置标记。如果选择这个菜单项目,则弹出一个对话框要求你选择一个你保存过的以前的日志,选定所需要的日志后,点“打开”,如果选定的日志的自启动子项、自启动值项与当前的状态有差异,AUTORUNS将以绿色突出显示,表示前后的自启动项存在不符。超有用的功能(后面有介绍)。
3、“保存”、“另存为”:保存日志用的,这里就不多讲了。
4、“刷新”:…………过。
5、“退出”:…………。
图7
(二)“项目”(其下拉菜单和在项目条上点右键弹出的快捷菜单内容、功能完全相同)
该菜单项目的下拉菜单项目包括:
1、“删除”:如果选定了一个自启动值项,该菜单项即可用,可以用来删除所选择的启动项目(可惜不能一次删除多个项目,当然,也不能删除开机自启动项目注册表子项);
2、“复制”:可以复制所选择自启动子项和自启动值项,可用“粘贴”将启动子项和自启动值项的内容复制到其他需要用的地方。
3、“验证”:选择这个菜单项后,软件将自动对列表中所选自启动值项进行数字签名验证,可以通过它发现病毒和流氓软件的破绽。
4、“跳转到”:选择这个菜单项后,将自动定位到所选自启动子项和自启动值项在注册表的相应位置,比较实用的功能,多用来对有问题但不能删除的自启动值项进行编辑,以修改被病毒强行修改的一些系统核心的自启动值项的注册表值项值。
5、“GOOGLE/MSN”:选定某个自启动子项和自启动值项后,选择这个菜单项目将以被选择内容为字段在GOOGLE/MSN上进行搜索。
6、“进程浏览器”:这玩意我用不了,提示有错误,无奈先过了。
7、“属性”:可以快速显示自启动值项对应文件的属性,十分方便的功能,一些时候可以通过查找文件属性相关数据判断该文件是否正常(如创建时间等数据)。
图8