Autoruns – как пользоваться

Autoruns – как пользоваться

Autoruns – как пользоваться

Категория: Программы
Добавил:
access_timeОпубликовано: 14-04-2021
visibilityПросмотров: 11 461
chat_bubble_outlineКомментариев: 12

Ни для кого не является особым секретом, что большинство процессов в Windows, которая обладает большими возможностями в плане расширения функционала, работают независимо от пользователя. Это системные процессы и различные вспомогательные некритичные службы, например, Windows Audio, благодаря которой на компьютере может воспроизводиться звук. Существует также множество сторонних программ и расширений, которые могут запускаться автоматически вместе с операционной системой и которые с этой точки зрения могут быть как полезными, так и не очень.

Autoruns – как пользоваться

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b75b07bdПросмотреть их список можно на вкладке «Автозагрузка» Диспетчере задач, но то, что вы там найдёте — это всего лишь малая часть всех процессов, относящихся к категории автозапуска. Чтобы просмотреть их в максимальном объёме, вам понадобится Autoruns — узкоспециализированная утилита, созданная разработчиками Sysinternals и впоследствии приобретённая Microsoft. Предназначается Autoruns для просмотра и управления точками автозапуска, так называемыми ASEP, которых в современных версиях Windows может насчитываться несколько сотен. 

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b76141a2Говоря более простым языком, это места, из которых может запускаться тот или иной процесс и к которым относятся разные ключи реестра, папка автозапуска и встроенный планировщик заданий. Используя возможности Autoruns, вы можете включать и отключать ASEP, а также получать основной набор сведений о тех процессах, из которых они стартуют. А ещё с помощью Autoruns можно создать нечто вроде эталонной карты точек автозапуска, сравнивая которую с последующими «снимками», выявлять новые элементы автозагрузки после установки стороннего программного обеспечения или обновления системы.

Интерфейс Autoruns

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b767040aautoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b76b9ed2Интерфейс утилиты представлен классическим и графическим меню, набором вкладок для сортировки ASEP и собственно самим списком ASEP. В нижней части рабочего окна программы расположена область сведений о «привязанных» к точкам автозапуска процессах. Каждая строка в списке содержит статус, значок и имя записи автозапуска, краткое описание, название издателя, полный путь к исполняемому файлу процесса. Для более удобной идентификации точек запуска используется цветовая гамма. Так, жёлтый цвет указывает на наличие самого элемента автозапуска, но отсутствие сопоставленной ему программы; розовым цветом помечаются записи, не имеющие описания и/или имени поставщика; голубым выделяются категории точек автозапуска, чисто для удобства.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b77163d6

Что содержат вкладки

По умолчанию все элементы автозагрузки выводятся на вкладке Everything, то есть все, однако в программе реализована возможность их сортировки по типу. Для этого в Autoruns и существуют вкладки. Вкратце рассмотрим их назначение.

• Logon. Содержит элементы автозагрузки текущего пользователя.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b776427c• Explorer. Включает элементы расширения оболочки, те же пункты контекстного меню Проводника.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b77b3888• Internet Explorer. Элементы, стартующие вместе со старым браузером Internet Explorer — расширения и панели.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b780b636• Scheduled Tasks. Задачи встроенного планировщика заданий.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b785d96b• Services. Эта вкладка содержит запускающиеся вместе с системой службы, в том числе службы Microsoft.  

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b78a6826• Drivers. Запускаемые при старте Windows драйвера.

• Codecs. Запускаемые при старте Windows кодеки.

• Boot Execute. Вкладка содержит приложения, которые запускаются при загрузке Windows и выполняют какое-то задание, например, сканирование антивирусом на раннем этапе загрузки или проверка системного раздела утилитой chkdsk.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b78ee360• Image Hijacks. Так называемые краденные образа, точки автозапуска, из которых стартует не та программа, которую указал пользователь.

• AppInit. Вкладка показывает элементы, которые загружают указанные в разделе реестра Appinit_Dlls библиотеки в процессы, использующие системный файл user32.dll. В современных ОС Windows неактуальна.    

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7943e64• Known DLLs. Известные библиотеки. После чистой установки Windows рекомендуется создать снимок содержимого этой вкладки, чтобы иметь возможность проверить, не удалили ли вредоносные программы существующие элементы и не заменили ли их поддельными DLL.

• Winlogon. Вкладка отображает библиотеки событий при загрузке Windows.

• Winsock Providers. Автозагружаемые элементы, необходимые для подключения к интернету. По умолчанию скрыты.

• Print Monitors. Элементы автозапуска, необходимые для работы принтера. Системные мониторы печати по умолчанию скрыты.

• LSA Providers. Элементы, связанные с безопасностью сети. Представлены DLL, используемыми процессом Lsass.exe или Winlogon.exe. Скрыты по умолчанию.

• Network Providers. Автозагружаемые элементы, работающие с настройками сети. Скрыты.

• WMI. Элементы из базы данных WMI — инструментария управления Windows.

• Office. Эта последняя вкладка содержит ASEP модулей офисного пакета Microsoft Office, если оный установлен на компьютере.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b798e38f

Что можно и что нельзя трогать в Autoruns

Теперь, когда вы приблизительно знаете назначение ASEP разных категорий, можно переходить к практике, но ещё нужно сказать пару слов о том, что можно и что нельзя трогать в Autoruns. Показ всех системных ASEP в программе отключён в меню Options → Hide Windows Entries, и мы бы не рекомендовали его включать без крайней нужды. Среди системных точек автозапуска имеется немало важных элементов, отключение или удаление которых способно привести к некорректной работе операционный системы или даже невозможности её загрузки. Для начала разумно было бы отключить и показ элементов Microsoft.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b79cb5a1Безопасными в Autoruns с отключёнными элементами Hide Windows Entries и Hide Microsoft Entries являются вкладки Logon, Explorer, Internet Explorer Scheduled Tasks и Services, содержимое которых может быть отключено полностью и без опасений, что система завалится. Но и здесь нужно проявлять рассудительность, например, вкладка Services содержит точки автозапуска служб сторонних антивирусов, брандмауэров, эмуляторов, VPN-клиентов и других программ, работающих в фоне.

При работе с Autoruns лучше всего придерживаться следующего правила: отключать можно только те элементы автозагрузки, назначение которых вам хорошо известно. Не рекомендуется без предварительного анализа удалять или отключать элементы, помеченные жёлтым или розовым цветом. Отсутствие описания и имени поставщика само по себе ещё ни о чём не говорит, равно как и их наличие, ибо любой разработчик стороннего ПО может прописать в эти поля любые текстовые данные, подлинным элемент можно считать лишь тогда, когда рядом с названием поставщика будет указано (Verified).

Сама по себе процедура управления автозагрузкой в Autoruns очень проста. Чтобы отключить ASEP, нужно снять расположенный напротив неё флажок, если же вы хотите удалить точку автозагрузки, нужно ее выделить и нажать Ctrl + D либо выбрать в контекстном меню соответствующую опцию. 

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7a2ec2fautoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7a7fa28В некоторых случаях изменения вступают в силу немедленно, в других потребуется перезагрузка компьютера. Например, мы хотим отключить расширение Проводника, добавляющее в окно просмотра свойств исполняемых файлов вкладку Icon для просмотра и извлечения иконок, не удаляя само расширение. Как нетрудно догадаться, эта ASEP находится на вкладке Explorer. Снимаем флажок, открываем свойства любого exe-файла и видим, что вкладка Icon исчезла.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7ad155dautoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7b12dd5Подобным образом мы могли бы подчистить контекстное меню Проводника, правда, для этого нам бы пришлось запустить Autoruns с правами администратора и включить показ точек автозапуска Windows. Допустим, мы не пользуемся опциями «Копировать в папку…» и «Переместить в папку…». За отображение этих опций в меню отвечают ASEP «Copy To» и «Move To» в ключе HKLMSoftwareClassesAllFileSystemObjectsShellExContextMenuHandlers. Снимаем с них галки и видим, что опции исчезли из меню.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7b59693autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7ba2dffautoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7bcd200Если вы уверены в бесполезности элемента, можете его удалить, но помните, что эта операция является необратимой, по крайней мере для самой Autoruns, поэтому создание системной точки восстановления перед внесением изменений в конфигурацию Windows всё же не помешает.

Проверка элементов автозагрузки на вирусы

Из дополнительных функций Autoruns хотелось бы обратить внимание на опцию Check VirusTotal в контекстном меню, позволяющую с помощью сервиса проверять ASEP на предмет заражения. «Точечная» проверка требует подтверждения со стороны пользователя, также вы можете включить проверку по умолчанию в меню Options → Scan Options, выставив настройки как показано на скриншоте и нажав «Rescan». 

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7c005c3autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7c48189autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7c9207bautoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7cd7e68При этом в крайней правой колонке VirusTotal для всех ASEP появится мини-отчёт, представленный двумя цифрами в формате 0/1, где 0 — количество обнаружений, а 1 — количество проверок. Отчёты формируются на базе хэшей, если же контрольная сумма конкретного файла отсутствует в базе VirusTotal, при включенной опции Submit Unknown Images файл будет отправлен на сервер для анализа.

autoruns d0bad0b0d0ba d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d18cd181d18f 65d27b7d2ad47Ну что же, будем, наверное, заканчивать. Говорить о Autoruns можно ещё долго, но и сказанного нами должно быть достаточно для понимания принципов работы с этим мощным инструментом. А ещё главнее понимать, чему служит та или иная точка автозапуска, отключить же её дело одного клика.

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку

Выделите и нажмите Ctrl+Enter

Программы
Autoruns – как пользоваться