autoruns怎么用_microsoft autoruns_winlogon.exe(2)

“打印监视器”：显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。

“LSA提供商”： LSA的全称为“Local Security Authority”——本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从 Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并和存储在账号中的密钥进行对比，如果对比的结果匹配，LSA就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA就认为用户的身份无效。这时用户就无法登录计算机。

下面该进入正题了。之前，我们需要一一了解该软件窗口下菜单栏的用法，讲解菜单功能之前，先统一一下思想：本软件窗口项目列表中灰色的部分，我这里叫自启动子项（不能也不允许你删除，不能使用“验证”、“属性”菜单功能，想想这应该是当然的罗），白色的部分，我称之为自启动值项，记住了！

一、主要功能菜单的介绍：

（一）“文件”

该菜单项目的下拉菜单项目包括：

1、“查找”：可以用来查找和定位包含输入字段的所有自启动子项和值项。比较实用的功能。

2、 “比较”：用于比较当前状态和以前保存过的日志的差异并设置标记。如果选择这个菜单项目，则弹出一个对话框要求你选择一个你保存过的以前的日志，选定所需要的日志后，点“打开”，如果选定的日志的自启动子项、自启动值项与当前的状态有差异，AUTORUNS将以绿色突出显示，表示前后的自启动项存在不符。超有用的功能（后面有介绍）。

3、“保存”、“另存为”：保存日志用的，这里就不多讲了。autoruns怎么用

4、“刷新”：…………过。

5、“退出”：…………。

图7

（二）“项目”（其下拉菜单和在项目条上点右键弹出的快捷菜单内容、功能完全相同）

该菜单项目的下拉菜单项目包括：

1、“删除”：如果选定了一个自启动值项，该菜单项即可用，可以用来删除所选择的启动项目（可惜不能一次删除多个项目，当然，也不能删除开机自启动项目注册表子项）；

2、“复制”：可以复制所选择自启动子项和自启动值项，可用“粘贴”将启动子项和自启动值项的内容复制到其他需要用的地方。

3、“验证”：选择这个菜单项后，软件将自动对列表中所选自启动值项进行数字签名验证，可以通过它发现病毒和流氓软件的破绽。

5、“GOOGLE/MSN”：选定某个自启动子项和自启动值项后，选择这个菜单项目将以被选择内容为字段在GOOGLE/MSN上进行搜索。

6、“进程浏览器”：这玩意我用不了，提示有错误，无奈先过了。

7、“属性”：可以快速显示自启动值项对应文件的属性，十分方便的功能，一些时候可以通过查找文件属性相关数据判断该文件是否正常（如创建时间等数据）。

该菜单项目的下拉菜单项目包括：

1、“包括空白启动位置”：如果AUTORUNS找不到自启动值项的启动位置，该值项将以空白显示。也就是说，如果AUTORUN找不到映像文件对应的自启动项目，选择这个菜单将显示这个AUTORUNS不能识别的自启动项（虽然自启动项目的名称和说明可能都是空的）。勾选或取消勾选后要用“刷新”才有效。

2、“验证代码签名”：一个很实用的功能，是用来指验证所有自启动值项的文件签名（Windows下的硬件有一个签名的功能，它是为了保证所有的驱动文件是经过MICROSOFT CORPORATION测试，符合HAL兼容性），如果核对通过，则可基本排除自启动值项是恶意软件的启动项目。勾选后要用“刷新”才有效。

3、“隐藏微软项目”：同样是一个很实用的功能，可以隐藏微软认证的项目，因为微软认证的项目不再显示，可供怀疑的自启动子项、自启动值项大幅度减少，使发现不正常的自启动值项的难度和工作量降低。勾选后要用“刷新”才有效。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-53371-2.html