6 Værktøjer til analyse af programmer, der automatisk starter i Windows

2015-08-29 16:37:58
Vigtigste·Software·6 Værktøjer til analyse af programmer, der automatisk starter i Windows

Malware er normalt programmeret til at forblive inficeret på systemet så længe som muligt for at stjæle mere information fra computeren gennem keylogging, fortsætte med at sprede og inficere andre computere på netværket eller være en del af et botnet, der venter på, at deres master skal kommandere dem til at starte et DDoS-angreb. For at forblive inficeret, bortset fra at blive opdaget, skal det automatisk køre, når Windows er startet op. En af måderne at opdage en infektion i Windows er ved at kontrollere startstederne for mistænkelige poster.

Den mest basale metode til at tjekke for startelementer er ved at bruge det indbyggede systemkonfigurationsværktøj (msconfig.exe) i Windows, men desværre er de punkter, der kontrolleres ikke komplette, kan let deaktiveres gennem et simpelt registreringsdatabasehack, og MSConfig gør ikke fortælle dig, hvilke poster der er usikre. HijackThis var et populært værktøj til at analysere en malware-inficeret computer, der inkluderer startposter i scanningsresultatet, men desværre er det erstattet af de fleste andre værktøjer af samme type.

Her er 6 gratis værktøjer, som du kan bruge til at analysere startelementerne, inklusive de vanskelige placeringer, der ikke er angivet i msconfig. 1. Emsisoft HiJackFree

HiJackFree er et gratis systemanalyseværktøj, der tilbydes af Emsisoft, producenten af ​​den populære Anti-Malware-software til avancerede brugere til at opdage malwares og fjerne dem fra computeren. For at kontrollere, om der er opstartposter, skal du klikke på Autoruns i venstre sidepanel, hvor det viser de elementer, der startes, baseret på de forskellige metoder. Hvad vi virkelig kunne lide ved HiJackFree, er at det forsøger automatisk at bestemme, om posterne er sikre eller usikre og mærker dem med farvekodning for lettere identifikation.

Hvis du har en aktiveret internetforbindelse, kan du klikke på opdateringsikonet øverst til højre der siger “Opdater data online automatisk”, når din musemarkør holder musen hen. Dette kontrollerer opstartelementerne med de nyeste data for at give en mere nøjagtig og ajourført analyse. Du kan midlertidigt deaktivere elementet fra at starte op ved at fjerne markeringen i afkrydsningsfeltet, redigere, slette og endda tilføje nye opstartposter. Fanen Tjenester er også værd at kontrollere, fordi det er en anden startmetode, som programmet kan køre, selv før brugeren er logget ind på Windows.

Bortset fra at analysere startområder, kan HiJackFree også vise detaljerede oplysninger om de kørende processer, porte, der åbnes efter proces, Explorer-tilføjelser, LSP, HOSTS-filindgange og installeret ActiveX på et Windows-system. Hvis du gerne vil hente en rapport om HiJackFree-analysen, kan du klikke på knappen Online-analyse, der findes øverst til højre, hvor en logfil skal genereres og automatisk uploades til Emsisofts websted til analyse. Når analysen er afsluttet, åbnes websiden for detaljer ved hjælp af din standardwebbrowser.

Download Emsisoft HiJackFree


2. Kørselscanner

Runscanner er en gratis og bærbar startanalysator, der findes i to tilstande, som er nybegynder og ekspert. Grundlæggende er begyndertilstanden beregnet til blot at scanne og oprette en log og "køre" -fil, der skal gennemgås af en malware-specialist. Hvad eksperttilstanden angår, er det her du kan se alle opstartelementer og også rette dem, hvis du finder det mistænkelige. I stedet for kun at liste hver enkelt opstartpost, gør Runscanner det let ved kun at angive de poster, der ikke er i deres hvidliste. De anførte varer angiver ikke nødvendigvis, at de er usikre, men kræver blot ekstra opmærksomhed for at sikre dig, at du ved, hvor det kommer fra.

For at slette et startelement skal du dobbeltklikke på posten for at kontrollere. Gå derefter til fanen Elementfixer, hvor du kan gennemgå de emner, du vil slette. For at bekræfte sletning af elementerne skal du klikke på knappen Rett valgte elementer. Du kan også dobbeltklikke på en post på fanen Elementfixer for at fjerne elementet fra listen. Alle startelementer, der slettes fra Runscanner, kan gendannes fra fanen Ekstra ting> Historik / sikkerhedskopier.

Runscanner leveres også med ekstra funktioner til forskning på de indlæste moduler, processkiller med evnen til at slette ved næste genstart og uploade filerne til VirusTotal for at scanne med over 40 forskellige antivirusprogrammer.

Download Runscanner


3. Autoruns

Autoruns er et af de mest populære bærbare værktøjer, der bruges til at analysere startprogrammer i Windows oprettet af Sysinternals og erhvervet af Microsoft. Dette værktøj er mere for avancerede brugere, fordi det ikke kommer med evnen til at genkende usikre eller farlige genstande. Det bruger farvekodninger til nogle elementer, f.eks. Gult for filer, der ikke findes, og røde for elementer, der ikke har oplysninger om filegenskaber.

Du kan midlertidigt deaktivere startposten ved at fjerne markeringen i afkrydsningsfeltet. Når du finder ud af, at de foretagne ændringer er sikre, kan du permanent slette posten ved hjælp af højreklik-kontekstmenuen. Som standard skjuler det også Windows-poster for at forhindre dig i at forkert deaktivere en vigtig startpost, der får Windows til ikke at starte op, fordi det kan være en udfordring at gendanne ændringerne ved at redigere registreringsdatabasen uden at starte i Windows.

Download Autoruns


4. Online Solutions Autorun Manager

Online Solutions Autorun Manager, forkortelse med OSAM er en anden startanalysator, der leveres med muligheden for at scanne opstartposterne ved hjælp af deres Online Malware Scanner. OSAMs online malware-scanner tager dybest set processerne hash og sammenligner det med deres database. Efter scanning føjes et risikoniveau til analysen, så du kan ignorere dem, der er sikre og kun være opmærksomme på de ukendte. Der er også genstande, der er mærket "Op til dig", som enten kan fjernes eller forbliver urørt, da det ikke udgør nogen sikkerhedsrisiko.

Farvekodning bruges også i Online Solutions Autorun Manager, hvor blåt betyder fil ikke fundet og gul for filer uden egenskabsoplysninger. Fjernelse af afkrydsningsfeltet deaktiverer elementet fra at starte op. Af nogle ukendte grunde var vi ikke i stand til permanent at slette startelementerne, fordi indstillingen “Slet fra lager” fra højreklik-kontekstmenuen altid er nedtonet. OSAM er tilgængelig i både installation og bærbare versioner.

Download Online Solutions Autorun Manager


5. Stille løbere

Silent Runners er faktisk et VBScript, der ganske enkelt genererer en logfil, der indeholder startelementer på systemet. Der er ingen grafisk brugergrænseflade eller indstillinger, og at køre selve filen udsender logfilen på det samme bibliotek som scriptet. Opstartelementer, der hører til Windows, er ikke inkluderet i det nævnte, og du skal være opmærksom på linjerne, der indeholder <>, fordi startpunktet ofte bruges af malware.

Det er klart, at Silent Runners ikke er beregnet til at blive brugt af basale brugere eller til at fjerne tvivlsomme opstartposter. Dette VBScript viser sig at være nyttigt, når du begrænses til at køre eksekverbare filer.

Download Stille løbere


6. FreeFixer

FreeFixer er et generelt fjernelsesværktøj, der ikke kun scanner et antal startplaceringer, men også flere andre områder af systemet, hvor malware kan skjule sig selv. Over 40 forskellige placeringer scannes i alt, inklusive Browser Helper Objects, Mozilla Firefox / Internet Explorer værktøjslinjer og udvidelser, Autostart genveje, Registreringsstart, planlagte opgaver, skjulte processer, HOSTS-filen, Systempolitikker, Drivere, Services, TCP / IP-indstillinger, UserInits, genveje, Nyligt oprettede eller ændrede filer, Svchost.exe / Explorer.exe moduler og mange flere.

Selvom programmet bruger hvidlistning for at reducere antallet af fuldt legitime poster, der vises på resultatlisten, gør det klart, at du stadig har brug for en mængde viden for at forstå, hvad du vil beholde og vil kunne være ondsindet og skal fjernes. Da scanningen er mere omfattende, kan tiden til at gennemføre operationen tage 10 minutter eller mere, så der er brug for lidt tålmodighed. Download blot installationsinstallationsprogrammet eller den bærbare version, kør det og tryk på Start scanning.

Hvis der stadig er poster, som du ikke forstår, mens du gennemgår resultaterne, vil linket "mere info" føre dig til online-biblioteket på FreeFixer-webstedet, hvor mere detaljerede oplysninger forhåbentlig kan give en bedre idé om, hvad emnet er. Marker, hvad du vil fjerne, og klik derefter på Fix. Der er ekstra indstillinger til at planlægge en baggrundsscanning og uploade filer til FreeFixer, når du klikker på "mere info", en fil nuker og System File Checker kan findes i vinduet Værktøjer. Windows 2000 til 8.1 understøttes.

Download FreeFixer

Redaktørens note : Selvom disse 6 værktøjer, som vi introducerede, kan liste og slette startposter, der oprettes af tredjepartsprogrammer, er det stadig ikke narresikkert, fordi der er en mere avanceret type malware, såsom rootkit, der kræver et anti-rootkit-program for at registrere dens tilstedeværelse . Desuden har vi set en rigtig smart keylogger, der kun tilføjer startuposten lige før programmet afsluttes, når Windows lukker ned og derefter automatisk fjerner startposten igen, efter at den er lanceret under Windows opstart. Denne metode omgår effektivt detektering på et af de 5 værktøjer, som vi har nævnt ovenfor.

Redaktørens Valg