[转载请注明出处 http://blog.whitejadesoft.com]

现在的网络环境真的很不安全,上周小侄子用我的电脑上了几个玩flash小游戏的网站,居然马上就中木马了。尽管不怎么占用系统资源,但是这只马到底有什么危害并不清楚,我也不想成为别人的肉鸡。

【在这里强烈鄙视一下网站挂马和用肉鸡挣钱的所谓“黑客” - 君子爱财,取之有道。既然你技术很牛,就做点正经事吧。公司现在有个CTO的空缺,有能力就来试试!】

决定自己手动清除木马,首先查找系统的启动项。一下子想不起来msconfig的命令,如是google一把。却意外地发现sysinternals的免费工具autoruns能够列出所有的启动项,这个小程序一直在我的

工具箱里,从来没有用过。我还以为它是用来设置光驱自动运行的呢,呵呵。把这个程序运行起来,发现真的是个好东东。

上图是autoruns运行的界面,列出了很多个系统的启动项。

  • Logon  This entry results in scans of standard autostart locations such as the Startup folder for the current user and all users, the Run Registry keys, and standard application launch locations.

  • Explorer Select this entry to see Explorer shell extensions, browser helper objects, explorer toolbars, active setup executions, and shell execute hooks.

  • Internet Explorer This entry shows Browser Helper Objects (BHO's), Internet Explorer toolbars and extensions.

  • Services 所有的系统服务 (Windows Services)

  • Drivers  所有内核模式的驱动程序 (kernel-mode drivers),除了被禁用的驱动之外。

  • Scheduled Tasks 计划任务

  • AppInit DLLs 在注册表项HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下可以查看这些动态链接库。关于AppInit的详细讲解,可以参考《Windows核心编程》的第22章。

  • Boot Execute  这个在注册表项HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute 中指定,注意这里的程序是所谓的Native images,而不是Windows images。因为系统引导到这一步的时候Windows的子系统(Win32, Posix,OS/2)环境还没建立起来。

  • Image Hijacks 在注册表项HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下。(这个我不懂哦)不过有两篇博文可供参考:

    • 1. http://blogs.msdn.com/greggm/archive/2005/02/21/377663.aspx

    • 2. http://blogs.msdn.com/junfeng/archive/2004/04/28/121871.aspx

  • Known DLLs 著名的"Known DLLs" 在注册表项HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls 下。有兴趣可以参考《Windows核心编程》。

  • Winsock Providers 显示Winsock中注册的协议和服务提供者程序。熟悉Winsock 2的同学就不用我多解释这个啦。

  • LSA Providers 对LSA感兴趣的话可以参考《Windows技术内幕》,MSDN网站或Keith Brown的文章,呵呵。

  • Printer Monitor 这个我不懂。

另外,除了autoruns.exe之外,还有一个命令行程序(console application)叫做autorunsc.exe。如下图所示。(如果和grep结合起来就好用了)

[结论] Windows真的是一个藏污纳垢的好所在,太多太多的地方能够让别有用心的程序得手。

链接:

Autoruns for Windows - http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

转载于:https://www.cnblogs.com/brucejia/archive/2009/08/12/1544469.html

Bruce' Tool 4 - autoruns相关推荐

  1. Windows工具ProcessHacker, TCPView, Autoruns

    ProcessHacker 参考: https://github.com/processhacker2/processhacker2 A free, powerful, multi-purpose t ...

  2. iOS开发8:使用Tool Bar切换视图

    之前讨论的都是单视图应用程序,而在实际应用中,我们可能要多个视图,并根据用户的需要切换视图. iOS中几种典型的多视图程序: (1)Tab Bar Application:程序的底部有一排按钮,轻触其 ...

  3. 安装 Enthought Tool Suite 时遇到的问题

    文:fasiondog  来源:http://blog.csdn.net/KongDong/archive/2009/05/26/4217942.aspx 因想研究一下Enthought Tool S ...

  4. RHEL5.1安装VM TOOL及中文乱码终极解决方案

    VMWARE tool 主要的功能就是让用户在虚拟机和真实系统之间实现无缝切换,这个功能很方便,当然VMware Tools最主要是实现linux和windows的文件共享. 1.挂载VM tool的 ...

  5. Finding iPhone Memory Leaks: A “Leaks” Tool Tutorial[转]

    Finding iPhone Memory Leaks: A "Leaks" Tool Tutorial by OWEN GOSS on 12. FEB, 2009 in RESO ...

  6. The genome polishing tool POLCA makes fast and accurate corrections in genome assemblies

    The genome polishing tool POLCA makes fast and accurate corrections in genome assemblies  基因组抛光工具POL ...

  7. LoRDEC: a tool for correcting errors in long sequencing reads 纠正长序列读取错误的工具

    LoRDEC: a tool for correcting errors in long sequencing reads Eric Rivals 21st August 2015 Abstract ...

  8. Basic local alignment search tool (BLAST)

    Basic local alignment search tool (BLAST) 包括:blastn, blastp, blastx, tblastn, tblastx等. 使用conda安装即可. ...

  9. 手把手教你学Kotlin (1): JetBrains的Kotlin Educational Tool下载、安装和 Kotlin Koans的安装和使用

    文章目录 前言 1.Kotlin Educational Tool下载.安装 2.Kotlin Koans的安装和使用 前言 此教程面向没有Kotlin基础的程序员或者学生 1.Kotlin Educ ...

最新文章

  1. Java中的运算神器 BigDecimal,了解一下?
  2. r语言 断轴 画图_R 绘图 – 函数曲线图 | 菜鸟教程
  3. 市电会引起UPS产生故障吗
  4. linux mysql 文件恢复_linux下误删数据文件恢复
  5. 前端学习(1373):构建模块化路由2
  6. 无法连接上 cn.archive.ubuntu.com:80 (123.129.214.98)。 - connect (111: 拒绝连接)
  7. arm linux 中断优先级,ARM中断处理过程
  8. 广东工业大学计算机学院微信群,谢光强
  9. Qt子窗口QMidSubwindow全屏出现的问题总结
  10. c#实现list集合移除某些列_List方法
  11. 蓝桥2017真题剪邮票
  12. IIS7下发布.NET1.1应用
  13. 【BZOJ2281】【博弈论+DP】 [Sdoi2011]黑白棋
  14. cnPuTTY 0.77.0.1—PuTTY Release 0.77中文版本简单说明~~
  15. iphone手机可不可以运行java_如何在不启动Xcode的情况下运行iPhone模拟器?
  16. 阿里云服务器Centos 6.8 64位漏洞 CVE-2017-5336 处理
  17. 1894 完美的牛栏
  18. CleanMyMac X试用版与正式版区别
  19. 12306一直显示服务器忙,网购春运火车票首日 12306网站又现服务器忙
  20. 西安交通大学计算机考研考数学几,西安交通大学电子信息专业考研考数学几?...

热门文章

  1. 华为首批升级鸿蒙系统的手机,鸿蒙系统首批升级机型曝光!荣耀手机遗憾缺席,原因很简单...
  2. 装载鸿蒙系统,华为3-4月份将正式推送鸿蒙系统 第三方装载量也将达到一个亿...
  3. epoll在ET和LT模式下读写
  4. 好久没有来CSDN了,这段时间比较忙。。
  5. BioPython-1
  6. 利用hutool工具类导出Excel
  7. @Import注解使用及源码分析
  8. Springboot+Spring-Security+JWT 实现用户登录和权限认证
  9. Java高并发、分布式框架,从无到有微服务架构设计
  10. python开发工具pycharm快速入门