2018-02-13
243
Автовыполнения позволяют Вам просматривать ASEPs офлайнового экземпляра Windows от различного, известного - хороший экземпляр Windows. Это может быть полезно в нескольких сценариях:
■ Если Windows не будет запускаться, офлайновый анализ может идентифицировать и удалить дефектный или неправильно сконфигурированный ASEPs.
■ Вредоносное программное обеспечение, и rootkits в частности могут предотвратить Автовыполнения от точной идентификации ASEPs. Например, rootkit, который прерывает и изменяет чтения реестра, может скрыть контент выбранных ключей от Автовыполнений. Беря систему офлайн и просматривая ее ASEPs от экземпляра Windows, в котором не работает то вредоносное программное обеспечение, те записи не будут скрыты.
■ Злонамеренные файлы на Вашей системе, могло бы казаться, были бы подписаны доверяемым издателем, когда фактически корневой сертификат, возможно, также прибыл от атакующего. Известное - хорошая система, в которой не устанавливается поддельный сертификат, приведет проверку подписи к сбою для тех файлов.
|
|
|
Чтобы выполнить офлайновый анализ, Автовыполнения должны работать с административными правами и должны иметь доступ к файловой системе офлайнового экземпляра. Выберите Анализируют Офлайновую Систему из меню File, и затем идентифицируют Windows цели (Системный Корень) каталог и каталог профиля пользователя, как показано в рисунке 5-4. Автовыполнения тогда сканируют каталоги того экземпляра и крапивницу реестра для ее ASEPs. Отметьте, что крапивница реестра не может быть на носителях только для чтения.
. 
Рис. 5-4. Выбор системы и каталогов профиля пользователя офлайновой системы.
Перечисление Неиспользованного ASEPs.
По умолчанию, Автовыполнения выводит на экран теневую строку только для ASEPs, которым сконфигурировали записи в пределах них. Если Включают Пустые Расположения, включается на меню опций, Автовыполнения выводит на экран теневую строку для каждого ASEP, который оно сканирует, есть ли у него записи или нет. Автовыполнения сканируют огромное число ASEPs, таким образом, это увеличивает количество вывода существенно. Включение этой опции может быть полезным, чтобы проверить, сканируются ли определенные ASEPs, или удовлетворить любопытство.
Как с опциями "Hide" и "Verify", включая Включению Пустых Расположений вступает в силу на следующем сканировании.
Изменение Шрифта.
Выберите Шрифт из меню опций, чтобы изменить использование Автовыполнений шрифта, чтобы вывести на экран его результаты. Изменение шрифта сразу обновляет дисплей.
