Autoruns fra Windows Sysinternals er et må-ha-verktøy for alle feilsøkere, og det har alltid ligget i verktøysettet mitt (og holdt regelmessig oppdatert) i mange år. I v10.02 ble et nytt alternativ "Analyse Offline System ..." lagt til i Autoruns som lar deg inspisere oppstartkonfigurasjonen, tjenester og andre innstillinger for et offline system.
Du kobler ganske enkelt harddisken til emnets PC som en slave-stasjon til et annet system, eller monterer stasjonen / bildet som du vil analysere offline (for fjerning av malware / Rootkit, eller til andre formål) i et annet system, og fyre opp Autoruns som administrator (forhøyet). Nevn Windows-katalogen og plasseringene til brukerprofilen til det frakoblede systemet, og Autoruns vil oppregne oppstartspunkter og andre innstillinger fra systemregisterelevene og NTUSER.DAT, fra de relative katalogene til de nevnte banene.
- Systemregisterelve er plassert på \ Windows \ System32 \ Config
- Brukerregister Hive NTUSER.DAT lokalisert til \ Brukere \ {brukernavn}
Autoruns and Dead Computer Forensics er en fin artikkel skrevet av Chad Tilbury - som du kan gå gjennom for mer informasjon. Analyser frakoblet systemfunksjon i Autoruns vil være nyttig i situasjoner der ekstern støtte / innlogging til den problematiske PCen ikke er et alternativ, eller hvis PC-en er i uopprettelig tilstand, spesielt i kjølvannet av Malware / Rootkit-angrep eller kanskje på grunn av annen feilkonfigurasjon .