Autoruns 应急分析工具介绍
Autoruns 是 微软 Sysinternals 套件中的一款 启动项管理工具,用于深入分析 Windows 启动过程,查看 系统开机自启动项、注册表加载项、计划任务、驱动、服务、钩子(Hooks)、DLL 劫持等。
相较于 任务管理器(Task Manager)或 msconfig,Autoruns 能够检测更多隐藏的启动项,并且可以 禁用、删除恶意软件的持久化入口,是安全研究员和应急响应人员常用的启动项排查工具。
Autoruns 主要功能
🔹 显示所有启动项:包括 注册表启动项、计划任务、服务、驱动、浏览器插件、Winsock 提供者 等。
🔹 检测恶意软件自启动项:识别 木马、病毒、后门程序 设定的 持久化机制。
🔹 在线 VirusTotal 扫描:直接检测可疑文件是否为 病毒/恶意软件。
🔹 禁用/删除启动项:可临时禁用 或 永久删除 可疑项,防止恶意软件开机运行。
🔹 查看数字签名:检查进程是否 经过微软/官方厂商签名,防止伪造文件。
🔹 支持命令行模式(Autorunsc.exe):适用于 批量检测、脚本自动化分析。
🔹 支持筛选系统启动项:隐藏 微软官方组件,专注排查第三方可疑软件。
Autoruns 使用方法
(1)运行 Autoruns
- 下载地址:微软官方 Sysinternals
- 解压运行:
- Autoruns.exe(带 GUI 界面)
- Autorunsc.exe(命令行模式)
- 运行方式:
- 普通模式:双击
Autoruns.exe运行 - 管理员模式(推荐):右键 “以管理员身份运行” 以查看所有启动项
- 普通模式:双击
(2)查看启动项
Autoruns 界面分为多个分类标签页,不同类别存放不同的启动项:
| 分类 | 作用 |
|---|---|
| Logon | 用户登录时启动的程序(注册表 HKCU\Software\Microsoft\Windows\CurrentVersion\Run) |
| Scheduled Tasks | 计划任务(恶意软件常用于持久化) |
| Services | 系统服务(可能包含恶意服务) |
| Drivers | 加载的驱动(Rootkit、内核级木马可能隐藏在此) |
| Explorer | 资源管理器插件(如恶意 DLL 劫持) |
| AppInit | 应用程序初始化 DLL(可能用于代码注入) |
| Winsock Providers | 网络协议钩子(可能被恶意软件篡改) |
| Codecs | 多媒体解码器(可被恶意软件劫持) |
| Boot Execute | Windows 开机启动项(通常用于引导级别的 Rootkit) |
| Image Hijacks | 可执行文件劫持(恶意软件可替换系统关键进程) |
(3)检测可疑启动项
✅ 检查是否有不明启动项
- 关注未知进程、随机命名的 EXE/DLL(如
asd123.exe、XyzTool.exe)。 - 右键 “Search Online”,查询进程信息。
✅ 启用 VirusTotal 在线检测
- 进入 Options → Scan Options,勾选 “Check VirusTotal.com”。
- 右键点击可疑进程 → “Check VirusTotal”,查看在线病毒检测结果。
- 红色警告:说明该进程可能是病毒。
✅ 隐藏微软官方进程,聚焦第三方应用
进入 Options → Hide Microsoft Entries,隐藏微软系统进程,专注排查第三方应用。
✅ 查看启动项文件位置
- 进程路径是否在
C:\Windows\System32\或C:\Program Files\? - 如果出现在
C:\Users\Public\、C:\Temp\、C:\Windows\Fonts\,可能是恶意软件。
✅ 分析注册表 & 计划任务持久化
- 检查 Scheduled Tasks 计划任务是否包含异常任务(如
random.exe)。 - 在 Logon / Run 位置,查看是否有不明 EXE/DLL 文件。
(4)禁用 & 删除可疑启动项
- 临时禁用:取消复选框 ✅(可恢复)
- 永久删除:右键 → “Delete”(慎用,建议备份)
- 查看启动项文件位置:
- 右键 → “Jump to Entry”(打开注册表)
- 右键 → “Jump to Image”(打开文件所在目录)
- 确认后删除相关 EXE/DLL 文件
Autoruns 适用场景
✅ 应急响应 & 恶意软件分析:查找恶意软件的 持久化机制(自启动、注册表、计划任务)。
✅ 挖掘 Rootkit & 高级恶意软件:发现隐藏在 驱动、Winsock、AppInit DLL 中的恶意软件。
✅ 排查系统异常启动项:修复被病毒篡改的启动项(如浏览器劫持、主页修改)。
✅ Windows 优化 & 加速启动:禁用不必要的启动项,提高 开机速度。
✅ 渗透测试 & 持久化检测:测试目标系统是否有 恶意持久化后门。
Autoruns 与其他工具对比
| 工具名称 | 主要功能 | 支持 VirusTotal | 禁用 & 删除启动项 | 查看注册表 & 计划任务 | 进程管理 |
|---|---|---|---|---|---|
| Autoruns | ✅ 深度分析启动项、持久化检测 | ✅ 一键检测 | ✅ 可禁用 & 删除 | ✅ 详细查看 | ❌ 不支持 |
| Process Explorer | ✅ 进程管理、DLL & 句柄分析 | ✅ 可检测 | ❌ 不能删除 | ❌ 仅查看运行中进程 | ✅ 强制终止 |
| 任务管理器(Task Manager) | 🚫 仅基础进程管理 | ❌ 不支持 | ❌ 不能删除 | ❌ 不能查看注册表 | ✅ 可终止 |
| CCleaner | ✅ 启动项管理、系统优化 | ❌ 需手动分析 | ✅ 可禁用 & 删除 | ❌ 不支持 | ❌ 不支持 |
| GMER | ✅ Rootkit 扫描 & 内核级恶意软件检测 | ❌ 需手动分析 | ❌ 不能删除 | ✅ 深入检测 | ❌ 不支持 |
图片详情
![图片[1]-⚙️Autoruns应急分析工具⚙️ - 🧑💻零信安全社区👩💻-🧑💻零信安全社区👩💻](https://0xaq-1301316901.cos.ap-guangzhou.myqcloud.com/wp-content%2Fuploads%2Ftencent%2Fimg%2F117%2F117-1.png)
![图片[2]-⚙️Autoruns应急分析工具⚙️ - 🧑💻零信安全社区👩💻-🧑💻零信安全社区👩💻](https://0xaq-1301316901.cos.ap-guangzhou.myqcloud.com/wp-content%2Fuploads%2Ftencent%2Fimg%2F117%2F117-2.png)
![图片[3]-⚙️Autoruns应急分析工具⚙️ - 🧑💻零信安全社区👩💻-🧑💻零信安全社区👩💻](https://0xaq-1301316901.cos.ap-guangzhou.myqcloud.com/wp-content%2Fuploads%2Ftencent%2Fimg%2F117%2F117-3.png)
总结
🚀 Autoruns 是 Windows 上最强大的启动项 & 持久化分析工具,适用于 应急响应、恶意软件排查、Windows 启动项优化。
💡 核心特点:
- 可查看所有启动项(包括注册表、计划任务、服务、驱动、DLL 劫持等)
- 支持 VirusTotal 在线扫描,帮助检测恶意软件
- 可直接禁用或删除可疑启动项,防止恶意软件持续运行
- 适用于渗透测试、恶意软件分析、系统优化
🔥 安全研究员 & 渗透测试人员的必备工具!
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish
暂无评论内容