Trang chủ » trường học » Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại

    Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại

    Hầu hết các chuyên viên máy tính đều có công cụ lựa chọn để xử lý các quy trình khởi động tự động, cho dù đó là MS Config, CCleaner hay thậm chí là Trình quản lý tác vụ trong Windows 8 - nhưng không ai trong số họ mạnh như Autorun, cũng là bài học về Trường học Geek của chúng tôi hôm nay.

    CHUYỂN ĐỔI TRƯỜNG
    1. Công cụ SysIternals là gì và bạn sử dụng chúng như thế nào?
    2. Hiểu quy trình Explorer
    3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
    4. Hiểu quy trình giám sát
    5. Sử dụng Trình giám sát quy trình để khắc phục sự cố và Tìm Hacks Registry
    6. Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại
    7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên máy tính để bàn
    8. Sử dụng PsTools để điều khiển các PC khác từ Dòng lệnh
    9. Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn
    10. Kết hợp và sử dụng các công cụ với nhau

    Vào thời xa xưa, phần mềm sẽ tự khởi động bằng cách thêm một mục vào thư mục Khởi động trong Menu Bắt đầu hoặc thêm một giá trị vào khóa Run trong sổ đăng ký, nhưng khi mọi người và phần mềm trở nên hiểu biết hơn trong việc tìm các mục không mong muốn và xóa chúng , các nhà sản xuất phần mềm nghi vấn bắt đầu tìm cách để ngày càng lén lút hơn.

    Các công ty crapware mờ ám này bắt đầu tìm ra cách tự động tải phần mềm của họ thông qua các đối tượng trợ giúp trình duyệt, dịch vụ, trình điều khiển, tác vụ theo lịch trình và thậm chí thông qua một số kỹ thuật cực kỳ tiên tiến như chiếm quyền điều khiển hình ảnh và AppInit_dlls.

    Kiểm tra từng điều kiện một cách thủ công sẽ không chỉ tốn thời gian mà gần như không thể thực hiện đối với người bình thường.

    Đó là nơi Autorun đến và tiết kiệm trong ngày. Chắc chắn, bạn có thể sử dụng Process Explorer để xem qua danh sách quy trình và đi sâu vào các luồng và xử lý, và Process Monitor có thể tìm ra chính xác khóa đăng ký nào đang được mở bằng quy trình nào và hiển thị cho bạn lượng thông tin đáng kinh ngạc. Nhưng không ai ngăn được crapware hoặc phần mềm độc hại được tải lại vào lần tới khi bạn khởi động PC của mình.

    Tất nhiên, một chiến lược thông minh sẽ là sử dụng cả ba cùng nhau. Process Explorer thấy những gì hiện đang chạy và sử dụng hết CPU và bộ nhớ của bạn, Process Monitor sẽ thấy ứng dụng đang làm gì dưới mui xe và sau đó Autorun đến để dọn dẹp mọi thứ để chúng không quay trở lại.

    Tự động chạy cho phép bạn xem gần như mọi thứ được tải tự động trên máy tính của bạn và vô hiệu hóa nó dễ dàng như nhấp vào hộp kiểm. Nó cực kỳ dễ sử dụng và gần như tự giải thích, ngoại trừ một số điều thực sự phức tạp bạn cần biết để hiểu ý nghĩa của một số tab. Đó là những gì bài học này sẽ dạy.

    Làm việc với giao diện Autorun

    Bạn có thể lấy công cụ Autorun từ trang web SysIternals giống như tất cả phần còn lại và chạy nó mà không cần cài đặt. Bạn sẽ muốn làm điều đó trước khi tiếp tục.

    Chú thích: Autorun không yêu cầu chạy với tư cách quản trị viên, nhưng thực tế, sẽ hợp lý nhất khi làm điều đó, vì có một số tính năng sẽ không hoạt động tốt, và rất có thể phần mềm độc hại của bạn cũng đang chạy với tư cách quản trị viên.

    Khi bạn khởi chạy giao diện lần đầu tiên, bạn sẽ thấy hàng tấn tab và danh sách những thứ đang được khởi động tự động trên máy tính của bạn. Tab Mọi thứ mặc định hiển thị mọi thứ từ mọi tab, nhưng nó có thể hơi khó hiểu và dài, vì vậy chúng tôi khuyên bạn chỉ nên đi qua từng tab riêng biệt.

    Điều đáng chú ý là theo mặc định, Autorun ẩn mọi thứ được tích hợp trong Windows và được đặt thành tự động khởi động. Bạn có thể cho phép hiển thị các mục đó trong các tùy chọn, nhưng chúng tôi sẽ không khuyến nghị.

    Vô hiệu hóa các mặt hàng

    Để vô hiệu hóa bất kỳ mục nào trong danh sách, bạn chỉ cần bỏ hộp kiểm. Đó là tất cả những gì bạn phải làm, chỉ cần xem qua danh sách và xóa mọi thứ bạn không cần, khởi động lại máy tính của bạn và sau đó chạy lại để đảm bảo mọi thứ đều tốt.

    Chú thích: một số phần mềm độc hại sẽ liên tục theo dõi các vị trí nơi chúng kích hoạt tự động khởi động và sẽ ngay lập tức đưa giá trị trở lại. Bạn có thể sử dụng phím F5 để quét lại và xem liệu có bất kỳ mục nào quay lại sau khi vô hiệu hóa chúng không. Nếu một trong số chúng xuất hiện trở lại, bạn nên sử dụng Process Explorer để tạm dừng hoặc tiêu diệt phần mềm độc hại đó trước khi vô hiệu hóa nó tại đây.

    Màu sắc

    Giống như hầu hết các công cụ SysIternals, các mục trong danh sách có thể có màu khác nhau và đây là ý nghĩa của chúng:

    • Hồng - điều này có nghĩa là không tìm thấy thông tin nhà xuất bản hoặc nếu xác minh mã được bật, có nghĩa là chữ ký điện tử không tồn tại hoặc không khớp hoặc không có thông tin nhà xuất bản.
    • màu xanh lá - màu này được sử dụng khi so sánh với bộ dữ liệu Autorun trước đó để chỉ ra một mục không có ở lần trước.
    • Màu vàng - mục khởi động là ở đó, nhưng tệp hoặc công việc mà nó trỏ đến không còn tồn tại nữa.

    Cũng giống như hầu hết các công cụ SysIternals, bạn có thể nhấp chuột phải vào bất kỳ mục nhập nào và thực hiện một số hành động, bao gồm nhảy đến mục hoặc hình ảnh (tệp thực tế trong Explorer). Bạn có thể tìm kiếm trực tuyến tên của quy trình hoặc dữ liệu trong cột, xem các thuộc tính chi tiết hoặc xem liệu mục đó có đang chạy bằng cách tìm kiếm nhanh thông qua Process Explorer - mặc dù nhiều quy trình có trình tải sau đó khởi chạy một thứ khác trước đó thoát, vì vậy chỉ vì tính năng đó cho thấy không có kết quả nào cả.

    Nếu bạn nhấp vào Jump to Entry, bạn sẽ được đưa thẳng đến Registry Editor, nơi bạn có thể thấy khóa đăng ký cụ thể đó và nhìn xung quanh. Nếu mục nhập là một cái gì đó khác, bạn có thể được đưa đến một tiện ích khác, như Trình lập lịch tác vụ. Thực tế là hầu hết thời gian, Autorun hiển thị tất cả các thông tin giống nhau ngay trong giao diện, vì vậy bạn thường không cần phải bận tâm trừ khi bạn muốn tìm hiểu thêm.

    Menu Người dùng cho phép bạn phân tích một tài khoản người dùng khác, điều này có thể thực sự hữu ích nếu bạn đã tải Autorun trên một tài khoản khác trên cùng một máy tính. Điều đáng chú ý là rõ ràng bạn sẽ cần phải chạy với tư cách quản trị viên để xem các tài khoản người dùng khác trên PC.

    Xác minh chữ ký mã

    Mục menu Tùy chọn bộ lọc sẽ đưa bạn đến bảng tùy chọn nơi bạn có thể chọn một tùy chọn rất hữu ích: Xác minh chữ ký mã. Điều này sẽ kiểm tra để đảm bảo rằng mỗi chữ ký số được phân tích và xác minh và hiển thị kết quả ngay trong cửa sổ. Bạn sẽ nhận thấy rằng tất cả các mục màu hồng trong ảnh chụp màn hình bên dưới không được xác minh hoặc thông tin nhà xuất bản không tồn tại.

    Và để có thêm tín dụng, bạn có thể nhận thấy rằng ảnh chụp màn hình bên dưới này gần giống với ảnh chụp gần đầu, ngoại trừ một trong những mục trong danh sách không được đánh dấu là màu hồng. Sự khác biệt là theo mặc định không có tùy chọn Xác minh chữ ký mã được bật, Tự động chạy sẽ chỉ cảnh báo bạn bằng hàng màu hồng nếu không có thông tin nhà xuất bản tồn tại.

    Phân tích một hệ thống ngoại tuyến (như kết nối ổ cứng với PC khác)

    Hãy tưởng tượng rằng máy tính của bạn của bạn đã bị hỏng hoàn toàn và sẽ không khởi động hoặc chỉ khởi động chậm đến mức bạn không thể thực sự sử dụng nó. Bạn đã thử các chế độ an toàn và các tùy chọn khôi phục như Khôi phục hệ thống, nhưng không thành vấn đề vì không thể sử dụng được.

    Thay vì rút thẻ Thẻ cài đặt lại, mà thường chỉ là thẻ Tôi từ bỏ thẻ, bạn có thể lấy ổ cứng ra và cắm vào PC hoặc máy tính xách tay bằng dock ổ cứng USB tiện dụng của bạn. Bạn có một cái, phải không? Sau đó, bạn chỉ cần tải lên Autorun và đi đến Tệp -> Phân tích hệ thống ngoại tuyến.

    Duyệt để tìm thư mục Windows trên ổ cứng khác và hồ sơ người dùng của người dùng bạn đang cố gắng chẩn đoán và nhấp OK để bắt đầu.

    Tất nhiên, bạn sẽ cần quyền truy cập ghi vào ổ đĩa, bởi vì bạn sẽ muốn lưu các cài đặt để xóa mọi thứ vô nghĩa mà bạn tìm thấy.

    So sánh với PC khác (Hoặc cài đặt sạch trước đó)

    Tùy chọn Tệp -> So sánh có vẻ không cần thiết, nhưng nó có thể là một trong những cách mạnh mẽ nhất để phân tích PC và xem những gì đã được thêm vào kể từ lần cuối bạn quét hoặc so sánh với PC sạch đã biết.

    Để sử dụng tính năng này, chỉ cần tải Autorun trên PC mà bạn đang cố kiểm tra hoặc sử dụng chế độ Ngoại tuyến mà chúng tôi đã mô tả trước đó, sau đó đi tới Tệp -> So sánh. Tất cả mọi thứ đã được thêm vào từ phiên bản tệp được so sánh sẽ hiển thị màu xanh lá cây tươi sáng. Nó đơn giản như vậy. Để lưu phiên bản mới, bạn sẽ sử dụng tùy chọn Tệp -> Lưu.

    Nếu bạn thực sự muốn trở thành dân chuyên nghiệp, bạn có thể lưu cấu hình sạch từ bản cài đặt Windows mới và đặt nó vào ổ flash để mang theo bên mình. Lưu phiên bản mới mỗi lần bạn chạm vào PC lần đầu tiên để đảm bảo bạn có thể nhanh chóng xác định tất cả các crapware mới mà chủ sở hữu đã thêm.

    Nhìn vào các Tab

    Như bạn đã thấy cho đến nay, Autorun là một tiện ích rất đơn giản nhưng mạnh mẽ mà hầu như ai cũng có thể sử dụng. Ý tôi là, tất cả những gì bạn phải làm là bỏ chọn một hộp, phải không? Tuy nhiên, thật hữu ích khi có thêm một số thông tin về ý nghĩa của tất cả các tab này, vì vậy chúng tôi sẽ thử và giáo dục bạn ở đây.

    Trang tiếp theo: Đăng nhập, tác vụ theo lịch trình và chiếm quyền điều khiển hình ảnh