文章目录
AutoRuns
AutoRuns用于启动程序管理,可显示系统启动或登录时的各种自动启动行为,并扩展和加载各种系统进程,要比任务管理器中的自启动管理高级得多,其界面如下,列出了所有开机启动项。
可以看到界面中有很多选项卡,当前所在位置是【Everything】,表示列出所有种类的启动项。如果想查看某一类型的启动项,例如【Logon】选项卡表示与登录相关的启动项,更多细节将在后面命令行部分列出。
点击【File】->【Save】,或者使用快捷键【Ctrl+S】可以报错扫描结果。
VirusTotal
【VirusTotal】是一个免费的网络服务,将通过多个杀毒引擎来分析文件。
点击【File】->【Run As Administrator】,可重新通过管理员模式打开软件。
点击菜单栏【Options】->【Scan Options】,勾选【Check VirusTotal.com】以及【Submit Unknown Images】,点击【ReScan】,程序将重新扫描启动项。
扫描结束后,列表右侧会出现一个【Virus Total】的表头,下方将显示杀毒引擎个数和报毒个数,例如【0/76】表示76个引擎,0报毒,说明这个启动项比较安全。如果出现了报毒,那么颜色会变红。
Autorunsc
【Autorunsc】是AutoRuns提供的命令行版本
| 参数 | 说明 | 参数 | 说明 |
|---|---|---|---|
| -a | 自动启动项选择 | ||
| -c | 将输出打印为csv | -ct | 将输出打印为制表符分隔值。 |
| -x | 将输出打印为 XML | ||
| -h | 显示文件哈希 | -m | 隐藏 Microsoft 项 如与-v一起用,则为已签名项 |
| -s | 验证数字签名 | -t | 以标准化 UTC (YYYYMMDD-hhmmss) 显示时间戳。 |
| -z | 指定要扫描的脱机 Windows 系统。 | ||
| user | 指定将显示其自动运行项目的用户帐户名称。 指定“*”以扫描所有用户配置文件。 |
其中,自动启动项选择【-a】的子命令如下表所示,与软件界面上的选项卡一一对应。
| 参数 | 选项卡 | 说明 |
|---|---|---|
| * | Everything | 全部 |
| b | Boot Execute | 启动执行 |
| d | Appinit | 可以一次性加载多个系统 DLL 的便捷方式 |
| e | Explorer | 仅记录与文件资源管理器相关的扩展/插件 |
| i | Internet Explorer | 网络浏览器加载项 |
| h | Image hijacks | 映像劫持 |
| k | Know DLLs | 已知 DLL |
| l | Logon | 登录启动(这是默认设置)。 |
| m | WMI | |
| n | Winsock providers | Winsock协议和网络提供商 |
| o | Codecs | 编解码器 |
| p | print Monitors | 打印机监视器 DLL。 |
| r | LSA providers | LSA 安全提供程序 |
| s | Services | 自动启动服务和非禁用驱动程序。 |
| t | Scheduled Tasks | 计划任务,包括预设进程,会按照触发条件在特定时间激活。 |
| w | Winlogon | |
| Drivers | 驱动器相关,大多数情况下用不到 |
此外,还提供了VirusTotal的开关按钮
- -u 将显示VirusTotal 未知或具有非零检测的文件,否则仅显示未签名的文件。
- -v[rs] 基于文件哈希查询恶意软件的 VirusTotal。 添加“r”,打开具有非零检测的文件的报表。 如果指定了“s”选项,会将报告为“以前未扫描”的文件上传到 VirusTotal。 请注意,扫描结果可能在 5 分钟或更长时间内不可用。
- -vt 在使用 VirusTotal 功能之前,必须接受其服务条款,如果尚未接受,并且忽略了此选项,系统会以交互方式提示你。