- Inzicht in wat Sysinternals Autoruns is, wat het analyseert en waarom het het meest complete overzicht biedt van de Boot de Windows.
- Leer hoe je Autoruns en Autorunsc kunt gebruiken om opstartlocaties te controleren, verdachte items te filteren en op VirusTotal te vertrouwen.
- Gebruik Autoruns in combinatie met andere Sysinternals-tools voor forensische analyse, detectie van persistentie en beoordeling van kwaadaardige processen.
- Leer de beste werkwijzen voor veilig downloaden, handtekeningverificatie en het beheren van valse positieven bij het werken met Autoruns.
Sysinternals Autoruns is uitgegroeid tot een van de onmisbare tools. Voor iedereen die wil weten wat er in vredesnaam bij het opstarten van Windows wordt geladen, of dat nu uit nieuwsgierigheid, om prestatieproblemen te voorkomen of om iets op te sporen is. malware Het sluipt binnen zonder toestemming te vragen. Het is geen zoveelste "magische opschoonprogramma", maar een zeer krachtig forensisch hulpmiddel dat je elke mogelijke plek laat zien waar een programma zich kan nestelen om automatisch te draaien.
Als u zich zorgen maakt over ongebruikelijke processen, verdachte geplande taken of niet-ondertekende binaire bestanden binnen uw team, kunnen wij u helpen. die automatisch starten, Autoruns en de online versie ervan commando's Autorunsc laat je alle bekende opstartlocaties controleren, VirusTotal gebruiken om hashes te verifiëren en vrij nauwkeurig onderscheid maken tussen legitieme en potentieel schadelijke software, waaronder bestandsloze malwareDit alles wordt aangeboden in een officiële Microsoft Sysinternals-tool, die lichtgewicht en draagbaar is en ontworpen is voor zowel professionals als gevorderde gebruikers.
Wat is Sysinternals Autoruns en waarom is het zo belangrijk voor het detecteren van malware?
Autoruns is een hulpprogramma dat oorspronkelijk is ontwikkeld door Mark Russinovich en Bryce Cogswell. die de meest uitgebreide inventarisatie van opstartlocaties in Windows biedt. In tegenstelling tot de gebruikelijke "Opstart"-tabbladen van de Taakmanager Autoruns, dat geen eenvoudige opstartbeheertools biedt, inspecteert een enorm aantal persistentiepunten die zowel door legitieme software als door malware worden gebruikt.
De tool geeft een overzicht van programma's, services, stuurprogramma's en extensies. Deze programma's starten automatisch met het systeem of bij het inloggen, naast de programma's die worden geactiveerd bij het openen van geïntegreerde componenten zoals Windows Explorer, Internet Explorer of bepaalde mediaspelers. Dit omvat zowel veelvoorkomende als minder voor de hand liggende manieren waarop malware zich vaak schuilhoudt.
Tot de locaties die Autoruns kan controleren behoren: de thuismap, de Run- en RunOnce-registersleutels (voor alle gebruikers en per gebruiker), talloze extra persistentiesleutels, evenals minder voor de hand liggende items: Explorer-shell-extensies, toolbars, Browser Helper Objects (BHO's), AppInit DLL's, "image hijacks", opstartimages, Winlogon notificatie-DLL, automatisch opstartende services, Winsock Layered Service Providers (LSP's), multimediacodecs, WMI-items en nog veel meer.
In de praktijk betekent dit dat Autoruns veel verder gaat dan een doorsnee opstartmanager.Het biedt een uitgebreid forensisch overzicht van alle persistentiemechanismen die op het systeem zijn geconfigureerd. Het is ideaal voor het diagnosticeren van schadelijke opstartmalware of voor het uitvoeren van periodieke audits op bedrijfssystemen.
Naast de grafische interface bevat het downloadpakket ook Autorunsc.De opdrachtregelversie stelt u in staat dezelfde gegevens te exporteren naar tekst-, CSV-, XML- of tabelvorm, waardoor geautomatiseerd werk, rapportage en integratie in analyse- of incidentresponsscripts worden vergemakkelijkt.
Veilig downloaden van Autoruns en zorgen over valse positieven.
Autoruns is een officieel hulpmiddel van Microsoft Sysinternals.De juiste manier om het zonder problemen te verkrijgen, is door het te downloaden van de officiële Microsoft-website of de Sysinternals-website zelf. De download is een zeer klein ZIP-bestand van ongeveer 2,8-3 MB, dat zowel de 32-bits als de 64-bits versie bevat, evenals Autorunsc.
Het is relatief gebruikelijk dat er af en toe een vals positief resultaat verschijnt in diensten zoals VirusTotal. Bij het analyseren van een ZIP-bestand dat bijvoorbeeld van de officiële website is gedownload, komt het voor dat één antivirusprogramma, zoals Zillya, het als een Trojaans paard van het type "Trojan.Rozena.Win32" bestempelt, terwijl de overige programma's (meer dan 70 in totaal) het als veilig beschouwen. Omdat het een bekend programma is dat veelvuldig in professionele omgevingen wordt gebruikt, worden deze geïsoleerde resultaten doorgaans als vals-positieven beschouwd.
Bij het beoordelen of het veilig is om dat bestand uit te voerenHet belangrijkste is om te controleren of de download afkomstig is van de officiële Microsoft Sysinternals-URL, de digitale handtekening van het uitvoerbare bestand te valideren en, indien gewenst, de hashes te controleren op VirusTotal. Als één zoekmachine iets als schadelijk aanmerkt, terwijl tientallen andere het als veilig beschouwen, vooral omdat het een bekend Microsoft-programma betreft, wijst dit duidelijk op een foutieve detectie.
Op het gebied van beveiliging wordt Autoruns veelvuldig gebruikt door beheerders, forensische analisten en professionals in cybersecurityJuist omdat het helpt bij het opsporen van malware, en niet bij het introduceren ervan. De sleutel is om het te downloaden van een legitieme bron en niet van dubieuze externe bronnen.
Belangrijkste kenmerken van Autoruns gericht op malwaredetectie
Het hoofdvenster van Autoruns is ingedeeld in tabbladen per categorie. (Alles, Aanmelden, Services, Geplande taken, drivers(Internet Explorer, enz.), zodat u snel het type opstartproces kunt isoleren dat u wilt bekijken. Het tabblad "Alles" fungeert als een overzicht met alle items die zijn gevonden in opstartmappen, snelkoppelingen, registersleutels en andere automatisch geladen locaties.
Bij elke vermelding worden belangrijke gegevens vermeld. Dit omvat de itemnaam, het volledige pad naar het uitvoerbare bestand of de DLL, de uitgever (digitale handtekening), de locatie in het register of bestandssysteem en de status (ingeschakeld of uitgeschakeld). Deze volledige transparantie is erg nuttig voor het lokaliseren van zowel ongewenste programma's die het opstarten vertragen als verdachte binaire bestanden die malware zouden kunnen zijn.
Het activeren of deactiveren van items is net zo eenvoudig als het aanvinken of uitvinken van het vakje. Deze instellingen staan naast elke optie. Als u een item uitvinkt, wordt het niet meer automatisch uitgevoerd wanneer Windows opstart; als u het weer aanvinkt, wordt het hersteld. Dit omkeerbare mechanisme maakt veilig experimenteren eenvoudig: als het uitschakelen van iets een functie verstoort, kunt u het eenvoudig weer inschakelen.
Om een opstartitem volledig te verwijderen (bijvoorbeeld bij een bevestigde malware) kunt u het item selecteren en op de Delete-toets drukken of de knop 'Verwijderen' in de werkbalk gebruiken. Hiermee wordt de verwijzing naar de persistentielocatie (bijvoorbeeld de bijbehorende Run-toets) verwijderd en, als het schadelijke binaire bestand niet goed beveiligd is, kan dit voorkomen dat het opnieuw wordt uitgevoerd.
Een belangrijke functie voor het opsporen van malware is de optie "Microsoft-items verbergen".Deze functie filtert alle items die door Microsoft zijn ondertekend, waardoor alleen software van derden zichtbaar blijft. Door deze functie te activeren, wordt de hoeveelheid onnodige bestanden aanzienlijk verminderd en is het veel gemakkelijker om ongebruikelijke items te vinden die u zich niet herinnert te hebben geïnstalleerd, of die afkomstig zijn van onbekende of niet-ondertekende uitgevers.
Hoe download, bereid en start je Autoruns correct?
Het installatieproces van Autoruns is zeer eenvoudig en vereist geen traditionele installatie.Nadat je het ZIP-bestand van de officiële website hebt gedownload, sla je het eenvoudigweg op in een map naar keuze (bijvoorbeeld, Downloads) en de inhoud ervan decomprimeren met de ingebouwde Windows-decompressor of een vergelijkbaar programma.
Wanneer je het ZIP-bestand uitpakt, zie je verschillende uitvoerbare bestanden.Dit omvat doorgaans Autoruns.exe (32-bit), Autoruns64.exe (64-bit) en Autorunsc.exe voor het gedeelte dat via de opdrachtregel wordt uitgevoerd. Op moderne 64-bits systemen is het gebruikelijk om Autoruns64.exe te gebruiken om een volledig overzicht van alle systeemitems te krijgen.
Autoruns is een volledig draagbare applicatie.Het schrijft geen permanente componenten weg en installeert geen services; het wordt gewoon uitgevoerd vanuit de map waar je het hebt uitgepakt. Je kunt het meenemen op een USB-stick en op verschillende computers gebruiken om steekproeven uit te voeren zonder sporen achter te laten, behalve de wijzigingen die je aanbrengt in de opstartitems.
Wanneer Autoruns start, kan Windows een bericht van Gebruikersaccountbeheer (UAC) weergeven. Het programma vraagt om beheerdersrechten. Het is raadzaam deze te verlenen, omdat veel persistentielocaties (met name services en systeemsleutels) alleen met verhoogde bevoegdheden kunnen worden bekeken en gewijzigd. Als u het programma zonder deze rechten uitvoert, is de zichtbaarheid beperkt.
Zodra de interface is geopend, begint Autoruns automatisch met de analyse van het systeem. En binnen enkele seconden worden de tabbladen gevuld met de gedetecteerde items. Er zijn geen installatiewizards of ingewikkelde eerste instellingen: u kunt direct beginnen met het bekijken van items.
Praktisch gebruik van Autoruns voor het lokaliseren en analyseren van malware
Om de mogelijke aanwezigheid van malware te onderzoeken, is de eerste stap het controleren van de belangrijkste tabbladen.Het tabblad 'Aanmelden' toont de programma's die starten wanneer u zich aanmeldt; 'Services' toont de services en stuurprogramma's die geconfigureerd zijn om met het systeem op te starten; 'Geplande taken' geeft een lijst van geplande taken, een veelgebruikt mechanisme voor kwaadaardige persistentie; 'Stuurprogramma's' geeft details over de geïnstalleerde stuurprogramma's, en andere tabbladen zoals 'Verkenner' of 'Internet Explorer' tonen extensies die op deze componenten worden geladen.
Een goede eerste strategie is om 'Microsoft-items verbergen' te activeren en, indien mogelijk, alleen niet-ondertekende items weer te geven.Dit kunt u beheren via het menu Opties, waar u ook de verificatie van digitale handtekeningen en de VirusTotal-integratie kunt inschakelen. Door de weergave te beperken tot software van derden, worden binaire bestanden van dubieuze herkomst die anders verborgen zouden blijven tussen tientallen legitieme Windows-componenten, aan het licht gebracht.
Als u een verdachte vermelding detecteert, kunt u deze grondig inspecteren vanuit Autoruns zelf.Selecteer de betreffende regel en gebruik het menu 'Eigenschappen' of de knop in de werkbalk om de bestandsdetails te bekijken: pad, versie, uitgever, grootte, datums, enz. Als u Process Explorer y VirusTotal Wanneer Autoruns wordt geopend, kan het er zelfs aan worden gekoppeld om de eigenschappen weer te geven van het actieve proces dat dat binaire bestand gebruikt.
Een andere uiterst handige functie is het menu "Spring naar item".Dit brengt u direct naar de registersleutel of bestandsmap waar de persistentie van het geselecteerde item is gedefinieerd. Hierdoor kunt u zelf zien welke sleutel de malware heeft aangemaakt, of het exacte pad waar het binaire bestand is geplaatst, waardoor u gerichter en in samenwerking met andere tools (bijvoorbeeld) kunt handelen. Verwijder verdachte bestanden. (uit een offline sessie).
Integratie met VirusTotal voegt een extra verificatielaag toe.Via de scanopties kunt u Autoruns opdracht geven om de hashes van de vermelde bestanden naar de VirusTotal-service te sturen. Het resultaat (het aantal engines dat het bestand als schadelijk markeert) wordt vervolgens in een extra kolom weergegeven. U kunt ook vragen om eerder niet-gescande bestanden te uploaden, maar houd er rekening mee dat het enkele minuten kan duren voordat de resultaten beschikbaar zijn.
Autorunsc: Persistentieanalyse vanaf de commandoregel
Autorunsc is de consoleversie van Autoruns. Het is ontworpen voor gevorderde gebruikers, scripting, serverautomatisering en het genereren van rapporten. Het biedt dezelfde mogelijkheden voor het opsommen van items als de eerste versie, maar dan in tekstformaat, met de mogelijkheid om te filteren op categorieën, resultaten te exporteren en aanvullende controles uit te voeren.
De basissyntaxis van Autorunsc stelt u in staat te selecteren welke typen AutoStart-items u wilt weergeven. Gebruik de parameter -a, gevolgd door een reeks letters die verschillende categorieën vertegenwoordigen. Bijvoorbeeld: b voor opstartimages, d voor AppInit DLL's, e voor Explorer-plug-ins, h voor gekaapte images, i voor Internet Explorer-plug-ins, l voor aanmeldingen, m voor WMI-items, n voor Winsock-protocollen en netwerkproviders, o voor codecs, p voor printermonitors, r voor LSA-beveiligingsproviders, s voor automatisch opstartende services en stuurprogramma's, t voor geplande taken of Winlogon-items, enzovoort. Het gebruik van * geeft aan dat u alle categorieën wilt.
Met de uitvoermodifiers kunt u de opmaak aanpassen aan uw behoeften.De optie `-c` genereert CSV-uitvoer, `-ct` gebruikt tabs, `-x` produceert XML en `-t` voegt genormaliseerde tijdstempels toe in het formaat YYYYMMDD-hhmmss (UTC). Deze opties zijn erg handig voor het invoeren van gegevens in correlatiesystemen, spreadsheets of SIEM-tools.
Wat betreft de beveiligingsverificatie ondersteunt Autorunsc parameters voor het controleren van digitale handtekeningen en VirusTotal.De optie -s valideert handtekeningen, -m verbergt items die door Microsoft zijn ondertekend (vergelijkbaar met filteren in de grafische gebruikersinterface), -h toont bestandshashes en -v (met varianten zoals -vr of -vs) raadpleegt VirusTotal aan de hand van de hash om te bepalen of het als malware wordt beschouwd. Met -u kunt u zich richten op onbekende bestanden of bestanden met een detectiewaarde die hoger is dan nul, of simpelweg niet-ondertekende binaire bestanden weergeven als u VirusTotal niet gebruikt.
Voordat je de VirusTotal-integratie via de commandoregel gebruiktU moet de servicevoorwaarden accepteren met de parameter -vt; als u deze weglaat, wordt u de eerste keer interactief om acceptatie gevraagd. U kunt ook een offline Windows-systeem opgeven om te scannen (bijvoorbeeld een installatie die vanaf een andere partitie is gekoppeld) met -z, of een specifieke gebruiker of * opgeven om alle profielen te scannen, wat erg handig is in bedrijfsomgevingen met meerdere gebruikers per computer.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.