autoruns怎么用_microsoft autoruns_winlogon.exe(3)

4、“字体”：前面都用过了…………直接过。

5、“搜索引擎”：有GOOGLE和MSN两个子菜单项，选择其中一个后，被选择的就被作为AUTORUNS的默认搜索引擎，并直接在“项目”下拉菜单或在自启动子项、自启动值项点右键弹出菜单的第五项反映出来。

（四）“用户”

该菜单项目的下拉菜单项目（根据操作系统的不同、用户帐户的不同，显示的菜单项目的名称和个数也不同，我的是WINXPSP2操作系统，一个管理员帐户）包括：

“操作系统版本-用户帐户名”和“操作系统版本-超级管理员用户帐户名”。有多少用户帐户就有多少个菜单项目（没有试验，不知道有兴趣的朋友不妨试下）。比如该菜单项的下拉菜单，在我机只有“WINXPSP2-***”和“WINXPSP2-ADMINISTRATOR”两个子项目。用鼠标左键勾选择不同项目可以实时切换不同帐户下自启动子项和自启动值项（哪个菜单项前打勾，就表示当前显示的是哪个帐户的自启动子项目和自启动值项）。

（五）“帮助”：直接略过。

二、常用工具栏的介绍

在菜单栏下面，有一排按钮组成的常用工具栏，根据下图的标记的顺序，简单介绍一下：

1号按钮：“保存”按钮（等同于菜单栏的“文件”--“保存”功能）

2号按钮：“刷新”按钮（等同于菜单栏的“文件”--“刷新”功能）

3号按钮：“查找”按钮（等同于菜单栏的“文件”--“查找”功能）

4号按钮：“属性”按钮（等同于菜单栏的“项目”--“属性”功能）

5号按钮：“删除”按钮（等同于菜单栏的“项目”--“删除”功能）

6号按钮：“跳转”按钮（等同于菜单栏的“项目”--“跳转到”功能）

图10

三、特色功能

（二）利用“文件”--“比较”功能，可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项，使检验添加自启动项的正常与否变得更加方便。

（三）“验证代码签名”、“隐藏微软项目”这两个功能，使得判断某个自启动子项和自启动值项是否是恶意软件更加简单，否则项目太多（一般有200多个），会看着发晕的。autoruns怎么用

（五） “属性”菜单项目可以直接在自启动项目上用右键调出，也可以在选择该项目后用“项目”--“属性”调出，直接定位并显示自启动项指向映像文件的“属性”，由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件（自启动项）是否正常，应该是很方便也很有特色的一个功能！

四、实战案例

案例一、删除有问题的驱动保护

如通过SRENG扫描日志发现有个不明驱动项目USBVM31B.SYS在机中活动！（这里仅仅是在举例，实际上这个服务项目是驱动，而且为了说明问题我对该映像文件的“属性”做了修改，实际该文件并非病毒驱动文件，不可照搬使用哦！）

怎么办？按照下列步骤，你会发现，原来查杀病毒驱动保护也不复杂：

1、双击autoruns.exe，进入AUTORUNS窗口，

图12

2、选项--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目；

图13

3、“文件”--“查找”--输入“USBVM31B.SYS”--回车，让AUTORUNS自动查找包括“USBVM31B.SYS”字段的自启动值项并定位；

图14

图15

如上图，发现USBVM31B.SYS这个DD有驱动保护，且驱动保护项目为ZSMC301B

图16

4、右键找到的项目条，选择“验证”，按菜单栏下的“刷新”按钮刷新一下，发现AUTORUNS提示“未通过验证”，有点怀疑；

图17

5、右键该项目条，选择“属性”，发现该映像文件创建时间是今天。因为最近没有安装新软件和硬件，感觉其有重大安全隐患。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-53371-3.html