Autoruns fra Windows Sysinternals er et must-have-værktøj til enhver fejlfinding, og det har altid været i mit værktøjssæt (og holdes opdateret regelmæssigt) i årevis. I v10.02 blev der tilføjet en ny mulighed "Analyse Offline System ..." i Autoruns, som giver dig mulighed for at inspicere startkonfiguration, tjenester og andre indstillinger i et offline system.
Du forbinder simpelthen emnets pc's harddisk som et slavedrev til et andet system, eller monterer det drev / billede, som du vil analysere offline (til Malware / Rootkit-fjernelse eller til andre formål) i et andet system, og tændes Autoruns som administrator (forhøjet). Nævn Windows-biblioteket og brugerprofilplaceringerne i det offline system, og Autoruns vil opregne startpunkter og andre indstillinger fra systemregistreringshives og NTUSER.DAT fra de relative kataloger over de nævnte stier.
- Systemregistreringskæver findes på \ Windows \ System32 \ Config
- Brugerregistreringshive NTUSER.DAT placeret på \ Brugere \ {brugernavn}
Autoruns and Dead Computer Forensics er en dejlig artikel skrevet af Chad Tilbury - som du kan gennemgå for at få flere oplysninger. Analyse af offline systemfunktion i Autoruns ville være praktisk i situationer, hvor fjernsupport / login til den problematiske pc ikke er en mulighed, eller hvis pc'en er i uoverkommelig tilstand, især i kølvandet på Malware / Rootkit-angreb eller måske på grund af anden fejlkonfiguration .
