⚙️Autoruns应急分析工具⚙️

Autoruns 应急分析工具介绍

Autoruns 是 微软 Sysinternals 套件中的一款 启动项管理工具，用于深入分析 Windows 启动过程，查看 系统开机自启动项、注册表加载项、计划任务、驱动、服务、钩子（Hooks）、DLL 劫持等。

相较于 任务管理器（Task Manager）或 msconfig，Autoruns 能够检测更多隐藏的启动项，并且可以 禁用、删除恶意软件的持久化入口，是安全研究员和应急响应人员常用的启动项排查工具。

Autoruns 主要功能

🔹 显示所有启动项：包括 注册表启动项、计划任务、服务、驱动、浏览器插件、Winsock 提供者 等。
🔹 检测恶意软件自启动项：识别 木马、病毒、后门程序 设定的 持久化机制。
🔹 在线 VirusTotal 扫描：直接检测可疑文件是否为 病毒/恶意软件。
🔹 禁用/删除启动项：可临时禁用 或 永久删除 可疑项，防止恶意软件开机运行。
🔹 查看数字签名：检查进程是否 经过微软/官方厂商签名，防止伪造文件。
🔹 支持命令行模式（Autorunsc.exe）：适用于 批量检测、脚本自动化分析。
🔹 支持筛选系统启动项：隐藏 微软官方组件，专注排查第三方可疑软件。

Autoruns 使用方法

（1）运行 Autoruns

• 下载地址：微软官方 Sysinternals
• 解压运行：
  • Autoruns.exe（带 GUI 界面）
  • Autorunsc.exe（命令行模式）
• 运行方式：
  • 普通模式：双击 Autoruns.exe 运行
  • 管理员模式（推荐）：右键 “以管理员身份运行” 以查看所有启动项

（2）查看启动项

Autoruns 界面分为多个分类标签页，不同类别存放不同的启动项：

（3）检测可疑启动项

✅ 检查是否有不明启动项

• 关注未知进程、随机命名的 EXE/DLL（如 asd123.exe、XyzTool.exe）。
• 右键 “Search Online”，查询进程信息。

✅ 启用 VirusTotal 在线检测

• 进入 Options → Scan Options，勾选 “Check VirusTotal.com”。
• 右键点击可疑进程 → “Check VirusTotal”，查看在线病毒检测结果。
• 红色警告：说明该进程可能是病毒。

✅ 隐藏微软官方进程，聚焦第三方应用

进入 Options → Hide Microsoft Entries，隐藏微软系统进程，专注排查第三方应用。

✅ 查看启动项文件位置

• 进程路径是否在 C:\Windows\System32\ 或 C:\Program Files\ ？
• 如果出现在 C:\Users\Public\、C:\Temp\、C:\Windows\Fonts\，可能是恶意软件。

✅ 分析注册表 & 计划任务持久化

• 检查 Scheduled Tasks 计划任务是否包含异常任务（如 random.exe）。
• 在 Logon / Run 位置，查看是否有不明 EXE/DLL 文件。

（4）禁用 & 删除可疑启动项

• 临时禁用：取消复选框 ✅（可恢复）
• 永久删除：右键 → “Delete”（慎用，建议备份）
• 查看启动项文件位置：
  • 右键 → “Jump to Entry”（打开注册表）
  • 右键 → “Jump to Image”（打开文件所在目录）
  • 确认后删除相关 EXE/DLL 文件

Autoruns 适用场景

✅ 应急响应 & 恶意软件分析：查找恶意软件的 持久化机制（自启动、注册表、计划任务）。
✅ 挖掘 Rootkit & 高级恶意软件：发现隐藏在 驱动、Winsock、AppInit DLL 中的恶意软件。
✅ 排查系统异常启动项：修复被病毒篡改的启动项（如浏览器劫持、主页修改）。
✅ Windows 优化 & 加速启动：禁用不必要的启动项，提高 开机速度。
✅ 渗透测试 & 持久化检测：测试目标系统是否有 恶意持久化后门。

Autoruns 与其他工具对比

图片详情