如何在 Windows 上使用 Sysinternals Autoruns 检测恶意软件

Sysinternals Autoruns 已成为必不可少的工具之一。 对于任何想知道 Windows 启动时究竟加载了什么的人来说，无论是出于好奇、为了提高性能，还是为了查找信息。 恶意软件 它会在未经许可的情况下悄悄潜入。它并非又一款“神奇清理器”，而是一款功能强大的取证工具，能够揭示程序可以自动运行的每一个角落。

如果您担心您的团队存在不寻常的流程、可疑的计划任务或未签名的二进制文件，我们可以提供帮助。 自动启动的 Autoruns 及其在线版本 comandos Autorunsc 可以检查所有已知的启动位置，使用 VirusTotal 验证哈希值，并能相当准确地区分合法软件和潜在恶意软件，包括 无文件恶意软件所有这些功能都集成在一个官方的微软 Sysinternals 工具中，该工具轻巧便携，专为专业人士和高级用户设计。

什么是 Sysinternals Autoruns？为什么它是检测恶意软件的关键？

Autoruns 是一款最初由 Mark Russinovich 和 Bryce Cogswell 开发的实用工具。 它提供了最全面的 Windows 启动位置列表。与典型的“启动”选项卡不同， 任务经理 Autoruns 除了提供基本的启动管理工具外，还会检查大量合法软件和恶意软件使用的持久点。

该工具列出了程序、服务、驱动程序和扩展程序。 除了在打开集成组件（例如 Windows 资源管理器、Internet Explorer 或某些媒体播放器）时激活的程序外，这些程序还会随系统启动或在您登录时启动。这包括恶意软件经常隐藏的常见路径和一些较为隐蔽的路径。

Autoruns能够检查的位置包括： 用户主文件夹、Run 和 RunOnce 注册表项（所有用户和每个用户）、众多其他持久性注册表项，以及一些不太明显的项目：资源管理器外壳扩展、工具栏、浏览器辅助对象 (BHO) 应用程序初始化 DLL“图像劫持”、启动映像、Winlogon 通知 DLL、自动启动服务、Winsock 分层服务提供程序 (LSP)、多媒体编解码器、WMI 条目等等。

实际上，这意味着 Autoruns 的功能远远超出了任何典型的启动管理器。它提供对系统上配置的所有持久化机制的全面取证视图。它是诊断恶意启动恶意软件或对企业系统进行定期审计的理想选择。

除了图形界面外，下载包中还包含 Autorunsc。命令行版本允许您将相同的数据导出为文本、CSV、XML 或表格格式，从而方便自动化工作、报告以及集成到分析或事件响应脚本中。

安全下载 Autoruns 以及对误报的担忧

Autoruns 是微软 Sysinternals 的官方工具。获取该软件的正确方法是仅从微软官方网站或Sysinternals网站下载。下载的文件非常小，只有2,8-3MB左右，其中包含32位和64位版本，以及Autorunsc工具。

在 VirusTotal 等服务中，偶尔出现误报是比较常见的。 例如，在分析从官方网站下载的 ZIP 文件时，有时会出现这样的情况：某个杀毒引擎（例如 Zillya）将其标记为“Trojan.Rozena.Win32”类型的木马程序，而其他 70 多个引擎则认为它是安全的。由于 Zillya 是一款在专业环境中广泛使用的知名工具，因此这些个别结果通常被归类为误报。

在评估该文件是否可以安全运行时重要的是要确认下载源来自微软 Sysinternals 的官方 URL，验证可执行文件的数字签名，如果需要，还可以使用 VirusTotal 检查其哈希值。如果一个引擎将某个程序标记为恶意，而其他几十个引擎都认为它是安全的，尤其考虑到这是一个知名的微软实用程序，这显然是误报。

在安全性方面，Autoruns 被管理员、取证分析师和专业人士广泛使用。 网络安全正是因为它有助于发现恶意软件，而不是引入恶意软件。关键在​​于从合法来源下载，而不是从可疑的第三方存储库下载。

Autoruns 的主要功能是检测恶意软件

Autoruns 主窗口按类别分为多个选项卡。 （所有内容、登录、服务、计划任务、 司机专区（例如 Internet Explorer），方便您快速定位要查看的启动项类型。“全部”选项卡概览了启动文件夹、快捷方式、注册表项和其他自动加载点中的所有条目。

每条条目都附有关键信息 这包括项目名称、可执行文件或 DLL 的完整路径、发布者（数字签名）、在注册表或文件系统中的位置以及状态（启用或禁用）。这种完全透明的信息对于查找拖慢启动速度的恶意程序和可能是恶意软件的可疑二进制文件都非常有用。

启用或停用项目就像勾选或取消勾选复选框一样简单。 每个条目旁边都有相应的选项。取消选中某个项目，即可阻止其在 Windows 启动时自动运行；重新选中即可恢复运行。这种可逆机制使得安全地进行实验变得容易：如果禁用某个功能导致程序崩溃，只需重新启用即可。

要彻底删除启动项 （例如，已确认的恶意软件），您可以选中该项目并按 Delete 键，或使用工具栏上的“删除”按钮。这将删除对持久化位置的引用（例如，相应的运行密钥），如果恶意二进制文件未得到妥善保护，则可以阻止其再次运行。

恶意软件检测的一项关键功能是“隐藏 Microsoft 条目”选项。此功能会过滤掉所有由 Microsoft 签名的条目，仅显示第三方软件。启用此功能可显著减少干扰信息，并使您更容易找到不记得安装的或属于未知或未签名发布者的特殊项目。

如何正确下载、准备和启动 Autoruns

Autoruns 的安装过程非常简单，不需要传统的安装方式。从官方网站下载 ZIP 文件后，只需将其保存到您选择的文件夹中（例如， 下载) 并使用 Windows 内置解压缩程序或任何类似工具解压缩其内容。

解压 ZIP 文件后，你会看到几个可执行文件。这通常包括 Autoruns.exe（32 位）、Autoruns64.exe（64 位）以及用于命令行部分的 Autorunsc.exe。在现代 64 位系统中，通常使用 Autoruns64.exe 来获取所有系统条目的完整视图。

Autoruns 是一款完全可移植的应用程序。它不会写入持久性组件或安装服务；它只是从您解压的文件夹运行。您可以将其保存在U盘中，并在不同的计算机上使用它进行抽查扫描，除了对启动项所做的更改之外，不会留下任何痕迹。

当 Autoruns 启动时，Windows 可能会显示用户帐户控制 (UAC) 消息。 它会请求管理员权限。建议授予这些权限，因为许多持久化位置（尤其是服务和系统密钥）只能以管理员权限查看和修改。如果未获得这些权限，则可视范围将受到限制。

界面打开后，Autoruns 将自动开始分析系统。 只需几秒钟，它就会将检测到的条目填充到标签页中。无需安装向导或复杂的初始设置：您可以立即开始查看条目。

Autoruns在定位和分析恶意软件方面的实际应用

要调查是否存在恶意软件，第一步是检查关键选项卡。“登录”选项卡显示登录时启动的程序；“服务”显示配置为随系统启动的服务和驱动程序；“计划任务”列出计划任务，这是恶意持久化的一种非常常见的机制；“驱动程序”详细说明已安装的驱动程序，而其他选项卡（例如“资源管理器”或“Internet Explorer”）则显示加载到这些组件上的扩展程序。

一个好的初始策略是启用“隐藏 Microsoft 条目”，并且如果可能的话，只显示未签名的项目。这些设置可在“选项”菜单中进行管理，您还可以在此启用数字签名验证和 VirusTotal 集成。通过将视野缩小到第三方软件，可以发现那些原本隐藏在数十个合法 Windows 组件中的来源可疑的二进制文件。

如果发现可疑条目，您可以直接在 Autoruns 中对其进行彻底检查。选择相关行，然后使用“属性”菜单或工具栏按钮查看文件详细信息：路径、版本、发布者、大小、日期等。如果您有 进程浏览器和VirusTotal 打开后，Autoruns 甚至可以绑定到该二进制文件，以显示使用该二进制文件的正在运行的进程的属性。

另一个极其有用的功能是“跳转到条目”菜单。这将直接带您进入定义所选项目持久性的注册表项或文件文件夹。这样，您可以亲自查看恶意软件创建的注册表项或二进制文件的确切位置，从而能够更精确地执行操作，并与其他工具（例如， 删除可疑文件 （来自离线会话）。

与 VirusTotal 的集成增加了一层额外的验证。在扫描选项中，您可以指示 Autoruns 将列出的文件的哈希值发送到 VirusTotal 服务，并在附加列中显示结果（标记为恶意文件的引擎数量）。您还可以请求它上传之前未扫描过的文件，但请注意，结果可能需要几分钟才能显示。

Autorunsc：从命令行进行持久性分析

Autorunsc 是 Autoruns 的控制台版本。 它专为高级用户、脚本编写、服务器自动化和报表生成而设计。它提供与初始版本相同的条目枚举功能，但以文本格式呈现，并支持按类别筛选、导出结果和运行其他检查。

Autorunsc 的基本语法允许您选择要列出的 AutoStart 条目的类型。 使用 `-a` 参数，后跟一组代表不同类别的字母。例如，`b` 代表启动映像，`d` 代表 AppInit DLL，`e` 代表资源管理器插件，`h` 代表被劫持的映像，`i` 代表 Internet Explorer 插件，`l` 代表登录项，`m` 代表 WMI 条目，`n` 代表 Winsock 协议和网络提供程序，`o` 代表编解码器，`p` 代表打印机监视器，`r` 代表 LSA 安全提供程序，`s` 代表自动启动服务和驱动程序，`t` 代表计划任务或 Winlogon 条目，等等。使用 `*` 表示您想要所有类别。

通过输出修饰符，您可以根据需要调整格式。`-c` 选项生成 CSV 输出，`-ct` 使用制表符，`-x` 生成 XML，`-t` 添加 YYYYMMDD-hhmmss (UTC) 格式的规范化时间戳。这些选项对于向关联系统、电子表格或 SIEM 工具提供数据非常有用。

关于安全验证，Autorunsc 支持检查数字签名和 VirusTotal 的参数。-s 选项用于验证签名，-m 选项用于隐藏由 Microsoft 签名的文件（类似于 GUI 筛选），-h 选项用于显示文件哈希值，-v 选项（以及 -vr 或 -vs 等变体）用于使用哈希值查询 VirusTotal，以确定该文件是否被判定为恶意软件。使用 -u 选项，您可以专注于未知文件或检测结果非零的文件，或者如果您不使用 VirusTotal，则可以仅显示未签名的二进制文件。

在通过命令行使用 VirusTotal 集成之前您必须使用 -vt 参数接受服务条款；如果您省略该参数，系统会在首次运行时以交互方式提示您。您还可以使用 -z 参数指定要扫描的离线 Windows 系统（例如，从另一个分区挂载的安装），或者指定特定用户或使用 * 参数扫描所有用户配置文件，这在每台机器有多个用户的企业环境中非常有用。