Utilizzare Autoruns per gestire i processi di avvio e il malware

La maggior parte dei geek ha il suo strumento di scelta per gestire i processi che si avviano automaticamente, che sia MS Config, CCleaner o anche Task Manager in Windows 8 - ma nessuno di questi è potente come Autoruns, che è anche la lezione della nostra Geek School per oggi.

NAVIGAZIONE SCOLASTICA

1. Quali sono gli strumenti di SysInternals e come li usi?
2. Capire Process Explorer
3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
4. Comprensione del monitor di processo
5. Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
6. Utilizzare Autoruns per gestire i processi di avvio e il malware
7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
8. Usare PsTools per controllare altri PC dalla riga di comando
9. Analisi e gestione di file, cartelle e unità
10. Avvolgimento e utilizzo degli strumenti insieme

Nei tempi antichi, il software si avvia automaticamente aggiungendo una voce alla cartella Esecuzione automatica nel menu Start o aggiungendo un valore nella chiave Esegui nel registro, ma man mano che le persone e il software diventano più esperti nel trovare le voci indesiderate e cancellarle , i creatori di software discutibile hanno iniziato a cercare modi per diventare sempre più subdoli.

Queste società losche di crapware hanno iniziato a capire come caricare automaticamente il loro software attraverso oggetti helper del browser, servizi, driver, attività programmate e anche attraverso tecniche estremamente avanzate come i dirottamenti di immagini e AppInit_dlls.

Il controllo manuale di ciascuna di queste condizioni non solo richiederebbe molto tempo, ma sarebbe quasi impossibile da fare per la persona media.

È qui che Autoruns entra e salva la giornata. Certo, puoi utilizzare Process Explorer per esaminare l'elenco dei processi e approfondire i thread e le maniglie, e Process Monitor può capire esattamente quali chiavi del registro vengono aperte da quale processo e ti mostrano incredibili quantità di informazioni. Ma nessuno interrompe il caricamento di crapware o malware all'avvio successivo del PC.

Naturalmente, una strategia intelligente sarebbe quella di utilizzare tutti e tre insieme. Process Explorer vede ciò che è attualmente in esecuzione e utilizza la CPU e la memoria, Process Monitor vede cosa sta facendo l'applicazione sotto il cofano, e quindi Autoruns entra per ripulire le cose in modo che non tornino.

Autoruns ti permette di vedere quasi ogni singola cosa che viene caricata automaticamente sul tuo computer, e disabilitarla facilmente come fare clic su una casella di controllo. È incredibilmente facile da usare e quasi autoesplicativo, ad eccezione di alcune delle cose davvero complicate che devi sapere per capire cosa significano realmente alcune schede. Questo è ciò che questa lezione insegnerà.

Funzionando con l'interfaccia di Autoruns

Puoi prendere lo strumento Autoruns dal sito web SysInternals come tutto il resto ed eseguirlo senza installarlo. Avrai voglia di farlo prima di procedere.

Nota: Autoruns non richiede l'esecuzione come amministratore, ma realisticamente ha più senso farlo, dato che ci sono alcune funzionalità che altrimenti non funzioneranno altrimenti, e c'è una buona probabilità che il malware sia in esecuzione come amministratore e.

Quando avvii per la prima volta l'interfaccia vedrai una tonnellata di schede e un elenco di cose che vengono avviate automaticamente sul tuo computer. La scheda Tutto predefinita mostra tutto da ogni scheda, ma può essere un po 'confusa e lunga, quindi consigliamo di passare attraverso ogni scheda separatamente.

Vale la pena notare che per impostazione predefinita, Autoruns nasconde tutto ciò che è incorporato in Windows e impostato per l'avvio automatico. Puoi abilitare la visualizzazione di tali elementi nelle opzioni, ma non lo consigliamo.

Disabilitazione degli articoli

Per disabilitare qualsiasi elemento nell'elenco, è sufficiente rimuovere la casella di controllo. È tutto ciò che devi fare, basta scorrere l'elenco e rimuovere tutto ciò che non ti serve, riavviare il computer, quindi eseguirlo di nuovo per assicurarsi che tutto sia in ordine.

Nota: alcuni malware monitoreranno costantemente le posizioni in cui attivano l'avvio automatico e restituiranno immediatamente il valore. È possibile utilizzare il tasto F5 per eseguire nuovamente la scansione e verificare se una delle voci è tornata dopo averle disabilitate. Se uno di questi si presentasse di nuovo, dovresti usare Process Explorer per sospendere o uccidere quel malware prima di disabilitarlo qui.

I colori

Come la maggior parte degli strumenti di SysInternals, gli elementi nell'elenco possono essere di colori diversi, ed ecco cosa significano:

• Rosa - questo significa che non sono state trovate informazioni sui publisher, o se la verifica del codice è attiva, significa che la firma digitale non esiste o non corrisponde, o non ci sono informazioni sui publisher.
• verde - questo colore è usato quando si confronta un set precedente di dati Autoruns per indicare un oggetto che non c'era l'ultima volta.
• Giallo - la voce di avvio è lì, ma il file o il lavoro a cui punta non esiste più.

Inoltre, proprio come la maggior parte degli strumenti di SysInternals, puoi fare clic con il pulsante destro del mouse su qualsiasi voce ed eseguire una serie di azioni, tra cui il salto alla voce o all'immagine (il file effettivo in Explorer). Puoi cercare online il nome del processo o i dati nella colonna, vedere le proprietà dettagliate, o vedere se quella voce è in esecuzione facendo una ricerca rapida in Process Explorer - anche se molti processi hanno un caricatore che poi lancia qualcos'altro prima uscire, quindi solo perché quella funzione non mostra risultati non significa nulla.

Se hai fatto clic su Jump to Entry, verrai indirizzato direttamente all'Editor del Registro di sistema, dove potrai vedere quella particolare chiave di registro e guardarti intorno. Se la voce era qualcos'altro, potreste essere portati a un'utilità diversa, come l'Utilità di pianificazione. La realtà è che la maggior parte delle volte, Autoruns mostra tutte le stesse informazioni direttamente nell'interfaccia, quindi di solito non devi preoccuparti se non vuoi saperne di più.

Il menu Utente ti consente di analizzare un account utente diverso, che può essere davvero utile se hai caricato Autoruns su un account diverso sullo stesso computer. Vale la pena notare che ovviamente dovresti essere in esecuzione come amministratore per vedere altri account utente sul PC.

Verifica delle firme dei codici

La voce di menu Opzioni filtro ti porta in un riquadro delle opzioni in cui puoi selezionare un'opzione molto utile: Verifica le firme dei codici. Ciò verificherà che ogni firma digitale sia analizzata e verificata e visualizzi i risultati direttamente nella finestra. Noterai che tutti gli elementi in rosa nello screenshot qui sotto non sono verificati o che le informazioni dell'editore non esistono.

E per ulteriore credito, potresti notare che questa schermata di seguito è quasi la stessa di quella vicina all'inizio, tranne che in quella parte degli elementi nell'elenco in cui non è indicato come rosa. La differenza è che per impostazione predefinita, senza l'opzione Verify Code Signatures attivata, Autoruns ti avviserà solo con la riga rosa se non esiste alcuna informazione dell'editore.

Analizzare un sistema offline (come in Collegamento di un disco rigido a un altro PC)

Immagina che il computer del tuo amico sia completamente incasinato e che non si avvii o che si avvii così lentamente che non puoi davvero usarlo. Hai provato la modalità sicura e le opzioni di ripristino come Ripristino configurazione di sistema, ma non importa perché è inutilizzabile.

Piuttosto che tirare la scheda "reinstall", che spesso è solo la scheda "I give up", puoi tirare fuori il disco rigido e collegarlo al tuo PC o laptop con il tuo pratico dock USB. Ne hai uno, giusto? Quindi devi solo caricare Autoruns e andare su File -> Analizza il sistema offline.

Sfoglia per trovare la directory di Windows sull'altro disco rigido e il profilo utente dell'utente che stai cercando di diagnosticare, quindi fai clic su OK per iniziare.

Avrai bisogno di accedere in scrittura al disco, naturalmente, perché vorrai salvare le impostazioni per rimuovere qualsiasi assurdità si finisce per trovare.

Confronto con un altro PC (o precedente installazione pulita)

L'opzione File -> Confronta sembra non descrittiva, ma può essere uno dei modi più potenti per analizzare un PC e vedere cosa è stato aggiunto dall'ultima scansione o per confrontarlo con un PC pulito noto.

Per utilizzare questa funzione, è sufficiente caricare Autoruns sul PC che si sta tentando di ispezionare, oppure utilizzare la modalità Offline descritta in precedenza, quindi andare su File -> Confronta. Tutto ciò che è stato aggiunto dopo la versione del file confrontato verrà visualizzato in verde brillante. E 'così semplice. Per salvare una nuova versione, devi utilizzare l'opzione File -> Salva.

Se vuoi davvero essere un professionista, puoi salvare una configurazione pulita da una nuova installazione di Windows e metterla su un'unità flash da portare con te. Salva una nuova versione ogni volta che tocchi un PC per la prima volta per assicurarti di poter identificare rapidamente tutti i nuovi crapware che il proprietario ha aggiunto.

Guardando le schede

Come hai visto finora, Autoruns è un'utilità molto semplice ma potente che probabilmente potrebbe essere utilizzata da quasi chiunque. Voglio dire, tutto quello che devi fare è deselezionare una casella, giusto? Tuttavia, è utile avere ulteriori informazioni su cosa significano tutte queste schede, quindi cercheremo di istruirti qui.

Pagina successiva: accesso, attività pianificate e dirottamento dell'immagine