Използване на автомати за работа с процеси на стартиране и злонамерен софтуер

Съдържание:

Използване на автомати за работа с процеси на стартиране и злонамерен софтуер
Използване на автомати за работа с процеси на стартиране и злонамерен софтуер

Видео: Използване на автомати за работа с процеси на стартиране и злонамерен софтуер

Видео: Използване на автомати за работа с процеси на стартиране и злонамерен софтуер
Видео: Check this Amazing Story of Recovery from Chronic Fatigue Syndrome - YouTube 2024, Може
Anonim
Повечето джуджета имат свой инструмент по избор, за да се справят с процесите, които се стартират автоматично, независимо дали това е MS Config, CCleaner или дори Task Manager в Windows 8 - но никой от тях не е толкова мощен, колкото Autoruns. днес.
Повечето джуджета имат свой инструмент по избор, за да се справят с процесите, които се стартират автоматично, независимо дали това е MS Config, CCleaner или дори Task Manager в Windows 8 - но никой от тях не е толкова мощен, колкото Autoruns. днес.

УЧИЛИЩНА НАВИГАЦИЯ

  1. Какви са SysInternals Tools и как ги използвате?
  2. Разбиране на процеса Explorer
  3. Използване на Process Explorer за отстраняване на неизправности и диагностика
  4. Разбиране на процеса на наблюдение
  5. Използване на процесния монитор за отстраняване на неизправности и откриване на системни хакове
  6. Използване на автомати за работа с процеси на стартиране и злонамерен софтуер
  7. Използване на BgInfo за показване на информация за системата на работния плот
  8. Използване на PsTools за управление на други компютри от командния ред
  9. Анализиране и управление на вашите файлове, папки и дискове
  10. Обвиване и използване на инструментите заедно

В по-старите дни софтуерът ще се стартира автоматично, като добави запис в папката "Стартиране" в менюто "Старт" или добави стойност в клавиша "Изпълни" в системния регистър, но хората и софтуерът станаха по-разбираеми при намирането на нежелани записи и изтриването им, създателите на съмнителен софтуер започнаха да намират начини да се подхлъзят все повече и повече.

Тези компании за сенчести компютри започнаха да разберат как автоматично да зареждат софтуера си чрез помощни обекти на браузъра, услуги, драйвери, планирани задачи и дори чрез някои изключително усъвършенствани техники като хакерство на изображения и AppInit_dlls.

Проверката на всяко от тези условия ръчно не само ще отнеме много време, но ще бъде почти невъзможно за обикновения човек.

Това е мястото, където Автомобилите влизат и спасяват деня. Разбира се, можете да използвате Process Explorer, за да прегледате списъка с процеси и да се захванете дълбоко в нишките и дръжките, а Process Monitor може да разбере точно кои ключове в регистъра се отварят от кой процес и да ви покаже невероятно количество информация. Но никой не спира да се зарежда отново crapware или зловреден софтуер следващия път, когато заредите компютъра си.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Автоматиците ви позволяват да виждате почти всяко нещо, което се зарежда автоматично на компютъра ви, и да го забраните толкова лесно, колкото и да поставите отметка в квадратче. Това е невероятно лесна за използване и почти самообяснително, с изключение на някои от много сложните неща, които трябва да знаете, за да разберете какво всъщност означават някои раздели. Това е, което този урок ще научи.

Работа с интерфейса на авторите

Можете да вземете инструмента Autoruns от уеб сайта SysInternals точно като всички останали и да го стартирате без да го инсталирате. Ще искате да направите това, преди да продължите.

Забележка: Autoruns не изисква да работи като администратор, но реалистично прави най-смисъл да направите това, тъй като има няколко функции, които няма да работят както добре, и има голям шанс вашият злонамерен софтуер да работи и като администратор.

Когато стартирате интерфейса за пръв път, ще видите тон от раздели и списък с неща, които се стартират автоматично на компютъра ви. Разделът "Всичко за всичко" показва всичко от всеки раздел, но може да е малко объркващо и продължително, така че бихме посъветвали да преминем всеки раздел отделно.

Струва си да се отбележи, че по подразбиране Autoruns скрива всичко, което е вградено в Windows и е настроено да стартира автоматично. Можете да активирате показването на тези елементи в опциите, но няма да ги препоръчваме.
Струва си да се отбележи, че по подразбиране Autoruns скрива всичко, което е вградено в Windows и е настроено да стартира автоматично. Можете да активирате показването на тези елементи в опциите, но няма да ги препоръчваме.

Деактивиране на елементи

За да деактивирате който и да е елемент в списъка, можете просто да премахнете отметката. Това е всичко, което трябва да направите, просто преминете през списъка и премахнете всичко, от което не се нуждаете, рестартирайте компютъра и го стартирайте отново, за да сте сигурни, че всичко е добро.

Забележка:някои злонамерени програми непрекъснато ще наблюдават местата, от които те задействат автоматичното стартиране, и веднага ще възстановят стойността. Можете да използвате клавиша F5 за повторно сканиране и да видите дали някои от записите са се върнали след деактивирането им. Ако някой от тях се появи отново, трябва да използвате Process Explorer, за да спрете или убиете този злонамерен софтуер, преди да го деактивирате тук.

Цветовете

Подобно на повечето инструменти на SysInternals, елементите в списъка могат да бъдат различни цветове и ето какво означават те:

  • розов - това означава, че не е намерена информация за издателя или ако проверката на код е включена, означава, че цифровият подпис или не съществува или не съвпада, или няма информация за издател.
  • зелен - този цвят се използва, когато се сравнява с предишен набор от данни от Автоматични данни, за да се посочи елемент, който не е имал последния път.
  • жълт - Входът за стартиране е там, но файлът или задачата, към която той сочи, вече не съществува.

Също като повечето инструменти на SysInternals, можете да кликнете с десния бутон на мишката върху всеки запис и да извършите редица действия, включително прескачане на влизането или изображението (действителния файл в Explorer). Можете да търсите онлайн името на процеса или данните в колоната, да видите подробните свойства или да видите дали влизането се изпълнява, като извършите бързо търсене чрез Process Explorer - въпреки че много процеси имат товарач, който след това стартира нещо друго излизането, така че само защото тази функция не показва резултати, не означава нищо.

Ако сте кликнали върху "Прескачане към влизане", ще бъдете прехвърлени направо в редактора на системния регистър, където можете да видите този конкретен ключ на системния регистър и да се огледате наоколо. Ако влизането е било нещо друго, може да бъдете отведени до друга помощна програма, като Scheduler за задачи.Реалността е, че по-голямата част от времето, Autoruns показва цялата една и съща информация точно в интерфейса, така че обикновено не трябва да се притеснявате, освен ако не искате да научите повече.
Ако сте кликнали върху "Прескачане към влизане", ще бъдете прехвърлени направо в редактора на системния регистър, където можете да видите този конкретен ключ на системния регистър и да се огледате наоколо. Ако влизането е било нещо друго, може да бъдете отведени до друга помощна програма, като Scheduler за задачи.Реалността е, че по-голямата част от времето, Autoruns показва цялата една и съща информация точно в интерфейса, така че обикновено не трябва да се притеснявате, освен ако не искате да научите повече.
Менюто "Потребител" ви позволява да анализирате различен потребителски акаунт, който може да бъде наистина полезен, ако сте натрупали автони на друг профил на същия компютър. Струва си да се отбележи, че очевидно трябва да работите като администратор, за да видите други потребителски акаунти на компютъра.
Менюто "Потребител" ви позволява да анализирате различен потребителски акаунт, който може да бъде наистина полезен, ако сте натрупали автони на друг профил на същия компютър. Струва си да се отбележи, че очевидно трябва да работите като администратор, за да видите други потребителски акаунти на компютъра.
Image
Image

Проверка на подписите на кода

Елементът от менюто "Опции за филтри" ви отвежда до панела с опции, където можете да изберете една много полезна опция: Потвърдете подписите на кода. Това ще провери, за да се уверите, че всеки цифров подпис е анализиран и проверен и да се показват резултатите точно в прозореца. Ще забележите, че всички елементи в розово изображение от екрана по-долу не са потвърдени или информацията за издателя не съществува.

И за допълнителен кредит може да забележите, че тази екранна снимка по-долу е почти същата като тази в началото, с изключение на това, че някои от елементите в списъка не са отбелязани като розови. Разликата е, че по подразбиране, без включена опцията "Потвърждаване на подписа на код", Autoruns ще ви предупреди само с розовия ред, ако няма информация за издателя.

Image
Image

Анализирайте офлайн система (както при свързване на твърд диск към друг компютър)

Представете си, че компютърът на вашия приятел е напълно объркан и няма да стартира или просто да ботуши толкова бавно, че не можете да го използвате. Опитали сте безопасен режим и опции за възстановяване, като възстановяване на системата, но няма значение, защото е неизползваем.

Вместо да издърпате картата "преинсталиране", която често е само картата "Аз се отказвам", можете да издърпате твърдия диск и да го свържете към компютъра или лаптопа си с удобния USB порт за твърд диск. Имате едно, нали? След това просто заредите Autoruns и отидете в File -> Analyze Offline System.

Прегледайте, за да намерите директорията на Windows на другия твърд диск и потребителския профил на потребителя, който се опитвате да диагностицирате, и кликнете върху OK, за да започнете.
Прегледайте, за да намерите директорията на Windows на другия твърд диск и потребителския профил на потребителя, който се опитвате да диагностицирате, и кликнете върху OK, за да започнете.
Трябва да имате достъп до устройството за писане, разбира се, защото ще искате да запазите настройките, за да премахнете каквито и да е глупости, които в крайна сметка намирате.
Трябва да имате достъп до устройството за писане, разбира се, защото ще искате да запазите настройките, за да премахнете каквито и да е глупости, които в крайна сметка намирате.

Сравняване срещу друг компютър (или Предишна чиста инсталация)

Опцията Файл -> Сравнение изглежда незаличима, но може да бъде един от най-мощните начини да анализирате компютър и да видите какво е добавено от последния път, когато сте сканирали или да се сравните с познат чист компютър.

За да използвате тази функция, просто заредете Autoruns на компютъра, който се опитвате да проверите, или използвайте офлайн режима, който описахме по-рано, след това отидете на File -> Compare. Всичко, което е добавено от сравняваната версия на файла, ще се появи в ярко зелено. Това е толкова просто. За да запазите нова версия, бихте използвали опцията Файл -> Запазване.

Ако наистина искате да сте професионалист, можете да запазите чиста конфигурация от нова инсталация на Windows и да го поставите на флаш устройство, за да вземете с вас. Запазете нова версия всеки път, когато докоснете компютъра за първи път, за да сте сигурни, че можете бързо да идентифицирате всички нови crapware, които собственикът е добавил.
Ако наистина искате да сте професионалист, можете да запазите чиста конфигурация от нова инсталация на Windows и да го поставите на флаш устройство, за да вземете с вас. Запазете нова версия всеки път, когато докоснете компютъра за първи път, за да сте сигурни, че можете бързо да идентифицирате всички нови crapware, които собственикът е добавил.

Гледайки разделите

Както сте видели досега, Автоматиците са много проста, но мощна програма, която може би ще бъде използвана от почти всеки. Искам да кажа, всичко, което трябва да направите, е да махнете отметката от кутията, нали? Полезно е обаче да имате още информация за това, което означават всички тези раздели, затова ще се опитаме да ви образоваме тук.

Следваща страница: Логване, зададени задачи и отвличане на изображения

Препоръчано: