1、“包括空白启动位置”：如果AUTORUNS找不到自启动值项的启动位置，该值项将以空白显示。也就是说，如果AUTORUN找不到映像文件对应的自启动项目，选择这个菜单将显示这个AUTORUNS不能识别的自启动项（虽然自启动项目的名称和说明可能都是空的）。勾选或取消勾选后要用“刷新”才有效。

　　2、“验证代码签名”：一个很实用的功能，是用来指验证所有自启动值项的文件签名（Windows下的硬件有一个签名的功能，它是为了保证所有的驱动文件是经过MICROSOFT CORPORATION测试，符合HAL兼容性），如果核对通过，则可基本排除自启动值项是恶意软件的启动项目。勾选后要用“刷新”才有效。

　　3、“隐藏微软项目”：同样是一个很实用的功能，可以隐藏微软认证的项目，因为微软认证的项目不再显示，可供怀疑的自启动子项、自启动值项大幅度减少，使发现不正常的自启动值项的难度和工作量降低。勾选后要用“刷新”才有效。

　　4、“字体”：前面都用过了…………直接过。

　　5、“搜索引擎”：有GOOGLE和MSN两个子菜单项，选择其中一个后，被选择的就被作为AUTORUNS的默认搜索引擎，并直接在“项目”下拉菜单或在自启动子项、自启动值项点右键弹出菜单的第五项反映出来。

　　（四）“用户”

　　该菜单项目的下拉菜单项目（根据操作系统的不同、用户帐户的不同，显示的菜单项目的名称和个数也不同，我的是WINXPSP2操作系统，一个管理员帐户）包括：

　　“操作系统版本-用户帐户名”和“操作系统版本-超级管理员用户帐户名”。有多少用户帐户就有多少个菜单项目（没有试验，不知道有兴趣的朋友不妨试下）。比如该菜单项的下拉菜单，在我机只有“WINXPSP2-***”和“WINXPSP2-ADMINISTRATOR”两个子项目。用鼠标左键勾选择不同项目可以实时切换不同帐户下自启动子项和自启动值项（哪个菜单项前打勾，就表示当前显示的是哪个帐户的自启动子项目和自启动值项）。

　　（五）“帮助”：直接略过。

　　二、常用工具栏的介绍

　　在菜单栏下面，有一排按钮组成的常用工具栏，根据下图的标记的顺序，简单介绍一下：

　　1号按钮：“保存”按钮（等同于菜单栏的“文件”--“保存”功能）

　　2号按钮：“刷新”按钮（等同于菜单栏的“文件”--“刷新”功能）

　　3号按钮：“查找”按钮（等同于菜单栏的“文件”--“查找”功能）

　　4号按钮：“属性”按钮（等同于菜单栏的“项目”--“属性”功能）

　　5号按钮：“删除”按钮（等同于菜单栏的“项目”--“删除”功能）

　　6号按钮：“跳转”按钮（等同于菜单栏的“项目”--“跳转到”功能）

图10

　　三、特色功能

　　（一）比起注册表编辑器庞大的数据库来说，AUTORUNS显得更加专业--只管理开机自启动项，别的不管，使用起来更简便和有针对性。这也是AUTORUNS软件的最大特色。

　　（二）利用“文件”--“比较”功能，可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项，使检验添加自启动项的正常与否变得更加方便。

　　（三）“验证代码签名”、“隐藏微软项目”这两个功能，使得判断某个自启动子项和自启动值项是否是恶意软件更加简单，否则项目太多（一般有200多个），会看着发晕的。

　　（四）用“跳转到”菜单项目建立了与注册表之间的快速切换，特别适合用来调用注册表编辑器来编辑一些被恶意软件强行插入病毒模块字段的注册表值项值。

　　（五） “属性”菜单项目可以直接在自启动项目上用右键调出，也可以在选择该项目后用“项目”--“属性”调出，直接定位并显示自启动项指向映像文件的“属性”，由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件（自启动项）是否正常，应该是很方便也很有特色的一个功能！

　　四、实战案例

　　案例一、删除有问题的驱动保护

　　如通过SRENG扫描日志发现有个不明驱动项目USBVM31B.SYS在机中活动！（这里仅仅是在举例，实际上这个服务项目是摄像头驱动，而且为了说明问题我对该映像文件的“属性”做了修改，实际该文件并非病毒驱动文件，不可照搬使用哦！）

　　怎么办？按照下列步骤，你会发现，原来查杀病毒驱动保护也不复杂：

　　1、双击autoruns.exe，进入AUTORUNS窗口， 

图12 

　　2、选项--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目； 

图13

　　3、“文件”--“查找”--输入“USBVM31B.SYS”--回车，让AUTORUNS自动查找包括“USBVM31B.SYS”字段的自启动值项并定位； 

图14 

图15

　　如上图，发现USBVM31B.SYS这个DD有驱动保护，且驱动保护项目为ZSMC301B

图16