6 Verktøy for å analysere programmer som starter automatisk i Windows

2015-08-29 16:37:58
Hoved~~Pos=Trunc·Programvare·6 Verktøy for å analysere programmer som starter automatisk i Windows

Malware er vanligvis programmert til å holde seg smittet på systemet så lenge som mulig for å stjele mer informasjon fra datamaskinen gjennom keylogging, for å fortsette å spre og infisere andre datamaskiner i nettverket, eller for å være en del av et botnet som venter på at masteren deres skal be dem om å starte et DDoS-angrep. For å holde seg smittet, annet enn å ikke bli oppdaget, må den automatisk kjøres når Windows startes opp. En av måtene å oppdage en infeksjon i Windows er ved å sjekke oppstartstedene for mistenkelige oppføringer.

Den mest grunnleggende metoden for å se etter oppstartselementer er ved å bruke det innebygde systemkonfigurasjonsverktøyet (msconfig.exe) i Windows, men dessverre er ikke poengene som blir sjekket fullstendige, kan enkelt deaktiveres gjennom et enkelt registerhack og MSConfig gjør det ikke fortelle deg hvilke oppføringer som er utrygge. HijackThis var et populært verktøy for å analysere en malware-infisert datamaskin som inkluderer oppstartsoppføringer på skanningsresultatet, men dessverre er det erstattet av de fleste andre verktøy av samme type.

Her er 6 gratis verktøy som du kan bruke til å analysere oppstartselementene inkludert de vanskelige stedene som ikke er oppført i msconfig. 1. Emsisoft HiJackFree

HiJackFree er et gratis systemanalysverktøy som tilbys av Emsisoft, produsenten av den populære Anti-Malware-programvaren for avanserte brukere for å oppdage malwares og fjerne dem fra datamaskinen. Hvis du vil se etter oppstartsoppføringer, klikker du på Autoruns på venstre sidefelt der det viser elementene som startes opp basert på de forskjellige metodene. Det vi virkelig likte med HiJackFree er at det vil prøve å automatisk finne ut om oppføringene er trygge eller utrygge og merke dem med fargekoding for enklere identifisering.

Hvis du har en aktivert Internett-tilkobling, kan du klikke på oppdateringsikonet øverst til høyre som sier “Oppdater data online automatisk” når musepekeren holder musen. Dette vil sjekke oppstartselementene med de nyeste dataene for å gi en mer nøyaktig og oppdatert analyse. Du kan deaktivere elementet fra å starte opp midlertidig ved å fjerne merket i avkrysningsruten, redigere, slette og til og med legge til nye oppstartsoppføringer. Tjenester-fanen er også verdt å sjekke fordi det er en annen oppstartsmetode som programmet kan kjøre selv før brukeren er logget inn på Windows.

Annet enn å analysere oppstartsområder, kan HiJackFree også vise detaljert informasjon om løpeprosessene, porter som er åpnet etter prosess, Explorer-tillegg, LSP, HOSTS-filoppføringer og installert ActiveX på et Windows-system. Hvis du ønsker å få en rapport om HiJackFree-analysen, kan du klikke på Online Analyse-knappen øverst til høyre der en loggfil blir generert og automatisk lastet opp til Emsisofts nettsted for analyse. Når analysen er fullført, vil hjemmesiden for detaljer åpne med din standard nettleser.

Last ned Emsisoft HiJackFree


2. Kjørescanner

Runscanner er en gratis og bærbar oppstartsanalysator som kommer i to moduser som er nybegynner og ekspert. I utgangspunktet er nybegynnermodus ment å bare skanne og opprette en logg og "kjøre" -fil for å bli vurdert av en malware-spesialist. Når det gjelder ekspertmodus, er det her du kan se alle oppstartselementene og også fikse dem hvis du synes det er mistenkelig. I stedet for bare å liste opp hvert enkelt oppstartselement, gjør Runscanner det enkelt ved bare å oppføre oppføringene som ikke er i hvitelisten. De oppførte varene indikerer ikke nødvendigvis at de er utrygge, men krever bare ekstra oppmerksomhet for å forsikre deg om at du vet hvor det kommer fra.

For å slette et oppstartselement, dobbeltklikker du på oppføringen for å foreta en sjekk. Gå deretter til fanen Elementfikser der du kan se på elementene du vil slette. For å bekrefte å slette elementene, klikker du på Fix fix items-knappen. Du kan også dobbeltklikke på en oppføring på fanen Elementfikser for å fjerne elementet fra listen. Eventuelle oppstartselementer som blir slettet fra Runscanner kan gjenopprettes fra fanen Ekstra ting> Historikk / sikkerhetskopier.

Runscanner har også tilleggsfunksjoner for å undersøke de lastede modulene, prosessdrapsmann med muligheten til å slette ved neste omstart og laste opp filene til VirusTotal for å skanne med over 40 forskjellige antivirusprogrammer.

Last ned Runscanner


3. Autoruns

Autoruns er et av de mest populære bærbare verktøyene som brukes til å analysere oppstartprogrammer i Windows laget av Sysinternals og er anskaffet av Microsoft. Dette verktøyet er mer for avanserte brukere fordi det ikke har muligheten til å gjenkjenne usikre eller farlige ting. Den bruker fargekoder for noen elementer, for eksempel gult for filer som ikke er funnet og røde for elementer som ikke har informasjon om filegenskaper.

Du kan deaktivere oppstartoppføringen midlertidig ved å fjerne merket for avkrysningsruten. Når du oppdager at endringene er trygge, kan du slette oppføringen permanent ved å høyreklikke hurtigmenyen. Som standard skjuler det også Windows-oppføringene for å forhindre at du feil deaktiverer en viktig oppstartoppføring som vil føre til at Windows ikke starter opp fordi det kan være en utfordring å gjenopprette endringene ved å redigere registeret uten å starte opp i Windows.

Last ned Autoruns


4. Online Solutions Autorun Manager

Online Solutions Autorun Manager, forkortelse for OSAM er en annen oppstartsanalysator som kommer med muligheten til å skanne oppstartoppføringer ved hjelp av deres online skadelig programvare. OSAMs online malware skanner tar i utgangspunktet prosessene hashes og sammenligner det med deres database. Etter skanning blir et risikonivå lagt til analysen slik at du kan ignorere de som er trygge og bare ta hensyn til de ukjente. Det er også elementer merket som "Opp-til-deg", som enten kan fjernes eller forlates urørt, da det ikke utgjør noen sikkerhetsrisiko.

Fargekoding brukes også i Online Solutions Autorun Manager der blå betyr fil ikke funnet og gul for filer uten eiendomsinformasjon. Hvis du fjerner merket for avkrysningsruten vil elementet deaktiveres fra å starte opp. Av noen ukjente årsaker klarte vi ikke å slette oppstartelementene permanent fordi alternativet "Slett fra lagring" fra hurtigmeny-hurtigmenyen alltid er nedtonet. OSAM er tilgjengelig i både installasjons- og bærbare versjoner.

Last ned Online Solutions Autorun Manager


5. Stille løpere

Silent Runners er faktisk et VBScript som ganske enkelt genererer en loggfil som inneholder oppstartselementer på systemet. Det er ingen grafiske brukergrensesnitt eller alternativer. Hvis du kjører selve filen, vil loggen vises i samme katalog som skriptet. Oppstartselementer som hører til Windows, er ikke inkludert i det listede, og du bør ta hensyn til linjene som inneholder <> fordi startpunktet ofte brukes av skadelig programvare.

Det er klart Silent Runners ikke er ment å brukes av grunnleggende brukere eller for å fjerne tvilsomme oppstartsoppføringer. Dette VBScript viser seg å være nyttig når du er begrenset til å kjøre kjørbare filer.

Last ned Silent Runners


6. FreeFixer

FreeFixer er et generelt fjerningsverktøy som skanner ikke bare et antall oppstartssteder, men også flere andre områder av systemet der malware kan skjule seg. Over 40 forskjellige lokasjoner skannes totalt, inkludert nettleserhjelperobjekter, Mozilla Firefox / Internet Explorer verktøylinjer og utvidelser, Autostart-snarveier, Oppstart av register, planlagte oppgaver, skjulte prosesser, HOSTS-filen, Systempolicyer, Drivere, Tjenester, TCP / IP-innstillinger, UserInits, snarveier, Nylig opprettede eller modifiserte filer, Svchost.exe / Explorer.exe-moduler og mange flere.

Selv om programmet bruker hviteliste for å redusere antall fullt legitime oppføringer som vises i resultatlisten, gjør det klart at du fremdeles trenger mye kunnskap for å forstå hva du vil beholde og ønsker kan være ondsinnet og må fjernes. Ettersom skanningen er mer omfattende, kan tiden for å fullføre operasjonen ta 10 minutter eller mer, så det trengs litt tålmodighet. Last ned installasjonsprogrammet eller den bærbare versjonen, kjør den og trykk på Start skanning.

Hvis det fremdeles er oppføringer du ikke forstår når du gjennomgår resultatene, vil koblingen "mer info" ta deg til nettbiblioteket på FreeFixer-nettstedet, hvor mer detaljert informasjon forhåpentligvis kan gi en bedre ide hva varen er. Merk av for hva du vil fjerne, og klikk deretter på Løs. Det er ekstra innstillinger for å planlegge en bakgrunnsskanning og laste opp filer til FreeFixer når du klikker på “mer info”, en filnekker og systemfilkontroll finner du i Verktøy-vinduet. Windows 2000 til 8.1 støttes.

Last ned FreeFixer

Redaktørens merknad : Selv om disse 6 verktøyene vi introduserte kan liste og slette oppstartoppføringer som opprettes av tredjepartsprogrammer, er det fremdeles ikke lurt bevis fordi det er mer avansert type malware som rootkit som krever et anti-rootkit program for å oppdage dets tilstedeværelse . Videre har vi sett en virkelig smart keylogger som bare legger til oppstartoppføringen rett før programmet avsluttes når Windows slås av og deretter automatisk fjerner oppstartoppføringen igjen etter at den ble lansert under oppstart av Windows. Denne metoden omgår effektivt gjenkjenning på et av de fem verktøyene vi har nevnt ovenfor.

Redaksjonens