反饋

AutoRuns

Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 開發的一款軟件，它能用於顯示在 Windows啓動或登錄時自動運行的程序，並且允許用户有選擇地禁用或刪除它們，例如那些在“啓動”文件夾和註冊表相關鍵中的程序。此外，Autoruns還可以修改包括：Windows 資源管理器的 Shell 擴展（如右鍵彈出菜單）、IE瀏覽器插件（如工具欄擴展）、系統服務和設備驅動程序、計劃任務等多種不同的自啓動程序。

Autoruns作為Sysinternals Suite（故障診斷工具套裝）的一部分，可運行於 Windows XP、Windows Server 2003 和更高版本的 Windows 操作系統。該軟件還包括一個相同功能的命令行版本Autorunsc，可以把結果報表以 CSV 格式輸出。

中文名: AutoRuns
外文名: AutoRuns

最新版本: ：V13.82
軟件語言: ：英文軟件
軟件大小: ：1.2 MB

AutoRuns基本信息

軟件類型：國外軟件

軟件授權：免費軟件

更新時間：2018-02-13^[1]

應用平台：Windows XP 及更高版本、Windows Server 2003 及更高版本

AutoRuns功能

AutoRuns是一款出色的啓動項目管理工具，首先我們來談一下它的作用：AutoRuns的作用就是檢查開機自動加載的所有程序，例如硬件驅動程序，windows核心啓動程序和應用程序。它比windows自帶的msconfig.exe還要強大，通過它我們還可以看到一些在msconfig裏面無法查看到的病毒和木馬以及惡意插件程序，還能夠詳細的把啓動項目加載的所有程序列出來。比如logon、explorer還有IE上加載的dll跟其它組件。

壓縮包內包含4個文件：autoruns.exe、autorunsc.exe、autoruns.chm、Eula.txt

AutoRuns.exe

“全部”--顧名思義，全部的開機自啓動項都在這個標籤下啦。另外，它也是雙擊autoruns.exe彈出窗口缺省定位的標籤，包括其他標籤的所有內容。

“登陸”--細心的朋友可以發現，該標籤下HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run這兩個註冊表子項的內容與系統配置實用程序“啓動”標籤下打勾的項目是完全一樣的，甚至“登陸”的圖標也和系統配置實用程序MSCONFIG.EXE的圖標完全相同，呵呵！當然，除了以上項目外，該標籤還包括HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell這三個自啓動子項的內容，這些是用系統配置實用程序“啓動”標籤看不到的內容。

“資源管理器”：對應資源管理器在註冊表上的子項和值項。

“英特網瀏覽器”：對應的是IE所有瀏覽器幫助對象（BHO）、網絡URL地址搜索鈎子、各類IE工具條以及IE常用工具欄按鈕所對應的註冊表子項和註冊表值項值。

“計劃任務”：和“開始”--“程序”--“附件”--“系統信息”--“任務計劃”中的內容是完全一致的，一般為空。

“服務”：即HKLM\System\CurrentControlSet\Services對應的開機自啓動服務的項目。由於具備開機自啓動功能，而且依靠ROOTKIT技術可以隱蔽運行，所以是病毒（流氓軟件）最愛光臨的地方。

“驅動”：即HKLM\System\CurrentControlSet\Services對應的開機自啓動驅動程序的項目。同上，又一個病毒經常光臨的樂園。

“啓動執行”：在系統登陸前啓動的本地映像文件（即WINDOWS映像文件的名稱）及自啓動項的情況。形象地理解一下，就是貌似瑞星的系統登陸前掃描這樣的自啓動項。

“映像劫持”：在此標籤下的內容對應的應用程序，開機後即被系統強制劫持而不能運行（就是我們經常説的IFEO，即系統自帶的應用程序映像劫持功能）。

“APPINIT”：初始化動態鏈接庫，其內容是開機時系統加載的必要的初始化動態鏈接庫文件。除了卡巴斯基等少數軟件需要通過添加DLL文件到此處實現從開機就接管系統底層的目的外，一般此項目應為空。

“KNOWNDLLS”：系統中已知的DLL文件。

“WINLOGON”：WINLOGON登陸項對應的自啓動註冊表子項及值項。

“WINSOCK提供商”：顯示已註冊的WINSOCK協議，包括WINSOCK服務商。由於只有很少的工具能夠移除該項目下的內容，惡意軟件經常偽裝成WINSOCK服務商實現自我安裝。AUTORUNS可以卸載此項目下的內容，但不能禁用他們。

“打印監視器”：顯示在PRINT SPOOLER服務中被加載的DLL文件。一些惡意軟件可能利用此服務項目實現開機自啓動。

“LSA提供商”：LSA的全稱為“Local Security Authority”——本地安全授權，Windows系統中一個相當重要的服務，所有安全認證相關的處理都要通過這個服務。它從Winlogon.exe中獲取用户的賬號和密碼，然後經過密鑰機制處理，並和存儲在賬號數據庫中的密鑰進行對比，如果對比的結果匹配，LSA就認為用户的身份有效，允許用户登錄計算機。如果對比的結果不匹配，LSA就認為用户的身份無效。這時用户就無法登錄計算機。

Autorunsc.exe

Autorunsc是 Autoruns.exe的命令行版本。

用法：autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z <systemroot> <userprofile>] | [user]]]

-a	顯示所有條目。
-b	引導執行。
-c	以 CSV 格式打印輸出。
-d	Appinit DLL。
-e	資源管理器加載項。
-g	邊欄小工具（Vista和更高版本）。
-h	映像劫持。
-i	Internet Explorer 加載項。
-l	登錄啓動（這是默認值）。
-m	隱藏已簽名的 Microsoft 項。
-n	Winsock 協議提供程序。
- p	打印機監視器驅動程序。
-r	LSA 提供程序。
-s	自動啓動服務和非禁用的驅動程序。
-t	計劃執行的任務。
-v	驗證數字簽名。
-w	Winlogon 條目。
-x	以 XML格式打印輸出。
-z	指定脱機Windows系統掃描。
user	為指定用户帳户轉儲自動運行程序。