double arrow

Глава 5. Автовыполнения (Autoruns)


Вопрос, который я часто слышу, "Почему весь этот материал работает на моем компьютере?" Это часто сопровождается с, "Как я избавляюсь от этого?" Операционная система Microsoft Windows - очень расширяемая платформа. Мало того, что программисты могут записать приложения, которые пользователи могут хотеть запускать, те программисты могут "увеличить стоимость", выполняя их программное обеспечение автоматически, не беспокоя пользователя запустить это, добавляя видимые или невидимые опции к Windows Explorer и Internet Explorer или предоставляя драйверы устройства, которые могут взаимодействовать с пользовательскими аппаратными средствами или изменить способ, которым работают существующие аппаратные средства. Иногда "значение" пользователю сомнительно в лучшем случае; иногда значение для кого-то еще полностью и действий программного обеспечения в ущерб пользователю (который является, когда программное обеспечение вызывают вредоносным программным обеспечением).

Автоматические запуски - термин, который я использую, чтобы обратиться к программному обеспечению, которое работает автоматически, не будучи преднамеренно запущенным пользователем. Они включают драйверы и службы, которые запускаются, когда компьютер загружается; приложения, утилиты, и расширения оболочки, которые запускаются, когда пользователь входит в систему; и расширения браузера, которые загружаются, когда Internet Explorer запускается. Есть более чем 100 ­расположений в файловой системе и реестре, которые позволяют автоматическим запускам быть сконфигурированными на x86 версиях Windows, и еще много на x64. Эти расположения часто упоминаются как Точки Расширяемости Автоматического запуска, или ASEPs.




У ASEPs есть законные и ценные цели. Например, если Вы хотите, чтобы Ваши контакты мгновенного обмена сообщениями знали, когда Вы являетесь онлайновыми, имея обменивающийся сообщениями клиент запускается, когда Вы входите в систему, большая справка. Пользователи наслаждаются поисковыми панелями инструментов и читателями PDF, которые становятся частью Internet Explorer. И большая часть самого Windows реализуется через ASEPs в форме драйверов, служб, и расширений Проводника.

С другой стороны рассмотрите изобилие "свободных" пробных версий программ, которые производители компьютеров устанавливают на новых компьютерах и которые заполняют область уведомлений панели задач. Рассмотрите также полускрытые процессы, что законные поставщики, выполненные все время так, чтобы их приложения, могло казаться, запускались более быстро. Вы действительно нуждаетесь во всех этих процессах, постоянно использующих ресурсы? Вдобавок ко всему, вредоносное программное обеспечение почти всегда сцепляет один или более ASEPs, и фактически каждый ASEP в Windows использовался вредоносным программным обеспечением однажды или другим.



Хотя Windows предлагает Системную Утилиту Конфигурации (msconfig.exe, показанный в рисунке 5-1), чтобы позволить Вам видеть некоторые из этих автоматических запусков, это показывает только маленькое подмножество и ограниченного удобства пользования. Msconfig также требует административных прав, даже только, чтобы просмотреть настройки. Это означает, что не может идентифицировать или отключить автоматические запуски в расчёте на пользователя, принадлежащие пользователям неадминистратора.

Рис. 5-1. Утилита MSConfig, включенная в Windows, представляет очень ограниченный набор автоматических запусков.

Брюс и я создали утилиту Autoruns, чтобы представить так много автоматических запусков, как мы могли идентифицировать, и облегчить отключать или удалять те автоматические запуски. Информация, которую представляют Автовыполнения, может быть обнаружена вручную, если Вы знаете, где смотреть в реестре и файловой системе. Автовыполнения автоматизируют ту задачу, сканируя большое количество ASEPs через несколько секунд, проверяя записи, и облегчая идентифицировать записи с подозрительными характеристиками, такими как нехватка цифровой подписи. Мы также создали версию командной строки, AutorunsC, чтобы позволить получить ту же самую информацию заданным сценарием способом.

Или Используя Автовыполнения или Используя AutorunsC, можно легко получить базовую линию ASEPs на системе. Та базовая линия может быть сравнена с результатами, полученными в более позднее время так, чтобы изменения могли быть идентифицированы для того, чтобы диагностировать цели. Много организаций используют Автовыполнения в качестве части устойчивой системы управления изменениями, получая новую базовую линию всякий раз, когда рисунок рабочего стола обновляется.









Сейчас читают про: