传授大家专业的进程管理工具AutoRuns的应用
AutoRuns是一款老牌的启动项和进程管理工具,那么,为什么要使用AutoRuns?这是因为AutoRuns可以提供最为全面的启动项的监控信息,并可以自由进行管理。如,启动文件夹、Run、RunOnce和其他注册表项中的程序、“资源管理器”外壳程序扩展、工具栏、浏览器帮助对象、Winlogon、自动启动服务等等。
为了方便测试,需要读音在“http://Iishy9.ysl68.com/”或“http://e.ysl68.com/?hshy9”的“测试程序”目录中下载“AutoRuns.rar”。
一、启动项管理
在win7系统运行其中的“HA_Autoruns9.57_LRH.exew文件完成程序的安装后,双击桌面上的“Autoruns”即可出现程序窗口并会自动定位到“全部启动项”选项卡界面。
在这个列表中,罗列出了其他所有选项卡中的项目。也就是说,如果想一次性査看所有的启动项目,那么切換到“全部启动项”即可。如果希望查看某一方面的启动项目,那么,单击切換到相应的选项卡界面即可。比方说,现在想看看用户登录过程中都加载了哪些启动项目,那么单击切換到“登录”选项卡界面后,即可看到相应的列表。
二、进程实战解析
在上图中我们看到了一个很奇怪的启动项目,即“HKLMSOFTWAREMicrosoftWmdowsNTCurrentVersionWiniogonShelT下居然有两个启动项目,即:
•%WINDIR%System32wincmrl.exe.Explorer.exe
经验告诉我们这里只应该存在Explorer.exe,wincmd.exe是不应该出现在这里的。在单击选中wincmd.exe项目后,可以在下方的状态栏中通过描述对这个文件敢初步的了解,这里从描述上没有发现什么有用的内容。但是,通过“。/oWINDIR%System32wincmd.exec:windowssystem32wincmd.exe”这行基本信息,我们知道了wincmrt.exe文件的存储路径,这一点是非常重要的,因为解决问题时非常需要寻根挖源。
由于这个文件的名称中含有win的宇样,所以很可能与Windows有关,为了避免误删除橾作的出现。现在,我们需要从“c:windowssystem32”目录中,将“wincmd.exe”文件复制到另一个分区中,准备使用杀毒软件进行初步分析,令人高兴地是,卡巴斯基禁止复制此文件并给出了如图所示的提示框。
从提示框中可以看出,这是一个木马程序,其病毒特征为“Backdoor.Win32.Wollf.aa”。在谷歌搜索引擎中将特征名称为关键宇进行搜索,获得了如图所示的由瑞星公司给出的结果。
需要说什么呢?现在赶紧把这个病毒文件删除吧!接着,在AutoRuns工具中可以选择两种操作,右键单击“%WINDIR%System32wincmrUxe”项并在弹出的菜单中选择“注册表”。
win7在弹出的“注册表编辑器”窗口中,可以看到已经自动定位到“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]"分支的shell值,其右侧的“数据”列显示结果为“Explorer.exe%WINDIR%System32wincmd.exeM。
版权声明:本站【趣百科】文章素材来源于网络或者用户投稿,未经许可不得用于商用,如转载保留本文链接:https://www.qubaik.com/life/104095.html