ใช้การทำงานอัตโนมัติเพื่อจัดการกับกระบวนการเริ่มต้นและมัลแวร์

geeks ส่วนใหญ่มีเครื่องมือในการเลือกเพื่อจัดการกับกระบวนการที่เริ่มต้นขึ้นโดยอัตโนมัติไม่ว่าจะเป็น MS Config, CCleaner หรือแม้แต่ Task Manager ใน Windows 8 - แต่ไม่มีกระบวนการใดที่มีประสิทธิภาพเท่ากับ Autoruns ซึ่งเป็นบทเรียน Geek School ของเราสำหรับ ในวันนี้.

การนำทางของโรงเรียน

1. เครื่องมือ SysInternals คืออะไรและคุณใช้งานอย่างไร?
2. ทำความเข้าใจกับ Process Explorer
3. ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย
4. ทำความเข้าใจเกี่ยวกับการตรวจสอบกระบวนการ
5. ใช้การตรวจสอบกระบวนการเพื่อแก้ไขปัญหาและค้นหา Hacks รีจิสทรี
6. ใช้การทำงานอัตโนมัติเพื่อจัดการกับกระบวนการเริ่มต้นและมัลแวร์
7. ใช้ BgInfo เพื่อแสดงข้อมูลระบบบนเดสก์ท็อป
8. การใช้ PsTools เพื่อควบคุมพีซีเครื่องอื่นจาก Command Line
9. การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ
10. การรวมและใช้เครื่องมือเข้าด้วยกัน

ในสมัยก่อนซอฟต์แวร์จะเริ่มต้นเองโดยอัตโนมัติโดยเพิ่มรายการลงในโฟลเดอร์ Startup ในเมนู Start หรือเพิ่มมูลค่าลงในปุ่ม Run ในรีจิสทรี แต่เมื่อผู้คนและซอฟต์แวร์เริ่มเข้าใจการค้นหารายการที่ไม่ต้องการมากขึ้นและลบรายการเหล่านั้นออก ผู้ผลิตซอฟท์แวร์ที่น่าสงสัยเริ่มค้นพบวิธีที่จะหลบหนีมากขึ้นเรื่อย ๆ.

บริษัท crapware ที่ร่มรื่นเหล่านี้เริ่มหาวิธีโหลดซอฟต์แวร์ของตนโดยอัตโนมัติผ่านทางวัตถุผู้ช่วยเบราว์เซอร์บริการไดรเวอร์งานที่กำหนดเวลาและแม้กระทั่งผ่านเทคนิคขั้นสูงบางอย่างเช่นการจี้รูปภาพและ AppInit_dlls.

การตรวจสอบแต่ละเงื่อนไขเหล่านี้ด้วยตนเองไม่เพียง แต่ใช้เวลานาน แต่เป็นไปไม่ได้ที่จะทำเพื่อคนทั่วไป.

นั่นคือสิ่งที่ Autoruns เข้ามาและบันทึกวัน แน่นอนว่าคุณสามารถใช้ Process Explorer เพื่อดูรายการกระบวนการและเจาะลึกเข้าไปในเธรดและหมายเลขอ้างอิงและ Process Monitor สามารถคิดได้อย่างชัดเจนว่าคีย์รีจิสทรีใดที่กำลังเปิดอยู่โดยกระบวนการใดและแสดงข้อมูลจำนวนมหาศาลอย่างไม่น่าเชื่อ แต่ไม่มีใครหยุด crapware หรือมัลแวร์จากการโหลดอีกครั้งในครั้งต่อไปที่คุณบูตพีซีของคุณ.

แน่นอนว่ากลยุทธ์ที่ชาญฉลาดจะใช้ทั้งสามอย่างพร้อมกัน Process Explorer จะเห็นสิ่งที่กำลังทำงานอยู่และใช้ CPU และหน่วยความจำของคุณมากขึ้น Process Monitor จะเห็นว่าแอปพลิเคชันกำลังทำอะไรอยู่ภายใต้ประทุนและจากนั้น Autoruns จะเข้ามาทำความสะอาดสิ่งต่าง ๆ.

การทำงานอัตโนมัติช่วยให้คุณเห็นเกือบทุกสิ่งที่ถูกโหลดโดยอัตโนมัติบนคอมพิวเตอร์ของคุณและปิดการใช้งานโดยง่ายเหมือนกับการคลิกที่ช่องทำเครื่องหมาย มันใช้งานง่ายอย่างเหลือเชื่อและสามารถอธิบายตัวเองได้เกือบทั้งหมดยกเว้นบางสิ่งที่ซับซ้อนจริงๆที่คุณต้องรู้เพื่อทำความเข้าใจว่าแท็บบางแท็บมีความหมายจริง นั่นคือสิ่งที่บทเรียนนี้จะสอน.

การทำงานกับอินเทอร์เฟซการทำงานอัตโนมัติ

คุณสามารถคว้าเครื่องมือ Autoruns ได้จากเว็บไซต์ SysInternals เช่นเดียวกับที่เหลือและเรียกใช้โดยไม่ต้องติดตั้ง คุณจะต้องทำก่อนที่จะดำเนินการต่อไป.

บันทึก: การทำงานอัตโนมัติไม่ต้องการการทำงานในฐานะผู้ดูแลระบบ แต่ในความเป็นจริงแล้วมันเหมาะสมที่สุดที่จะทำเช่นนั้นเนื่องจากมีคุณสมบัติบางอย่างที่ใช้งานไม่ได้เป็นอย่างอื่นและมีโอกาสที่ดีที่มัลแวร์ของคุณจะทำงานในฐานะผู้ดูแลระบบ.

เมื่อคุณเปิดอินเทอร์เฟซเป็นครั้งแรกคุณจะเห็นแท็บมากมายและรายการสิ่งต่าง ๆ ที่เริ่มต้นโดยอัตโนมัติบนคอมพิวเตอร์ของคุณ แท็บทุกอย่างเริ่มต้นจะแสดงทุกอย่างจากทุกแท็บ แต่อาจทำให้สับสนเล็กน้อยและมีความยาวดังนั้นเราแนะนำให้คลิกแต่ละแท็บแยกกัน.

โดยค่าเริ่มต้นแล้ว Autoruns จะซ่อนทุกอย่างที่ติดตั้งไว้ใน Windows และตั้งค่าให้เริ่มโดยอัตโนมัติ คุณสามารถเปิดใช้งานการแสดงรายการเหล่านั้นในตัวเลือก แต่เราจะไม่แนะนำ.

ปิดการใช้งานรายการ

หากต้องการปิดใช้งานรายการใด ๆ ในรายการคุณเพียงแค่ลบเครื่องหมายในช่อง นั่นคือทั้งหมดที่คุณต้องทำเพียงแค่ผ่านรายการและลบทุกสิ่งที่คุณไม่ต้องการรีบูตเครื่องคอมพิวเตอร์แล้วเรียกใช้อีกครั้งเพื่อให้แน่ใจว่าทุกอย่างดี.

บันทึก: มัลแวร์บางตัวจะตรวจสอบตำแหน่งที่พวกเขาเรียกใช้ autostart อย่างต่อเนื่องและจะนำค่ากลับมาทันที คุณสามารถใช้ปุ่ม F5 เพื่อสแกนซ้ำและดูว่ามีรายการใด ๆ ที่กลับมาหลังจากปิดการใช้งานพวกเขา หากหนึ่งในนั้นปรากฏขึ้นอีกครั้งคุณควรใช้ Process Explorer เพื่อหยุดหรือฆ่ามัลแวร์นั้นก่อนที่จะปิดการใช้งานที่นี่.

สี

เช่นเดียวกับเครื่องมือ SysInternals ส่วนใหญ่รายการในรายการอาจมีสีต่างกันและนี่คือความหมาย:

• สีชมพู - ซึ่งหมายความว่าไม่พบข้อมูลผู้เผยแพร่หรือหากเปิดใช้การยืนยันรหัสหมายความว่าลายเซ็นดิจิทัลนั้นไม่มีอยู่หรือไม่ตรงกันหรือไม่มีข้อมูลผู้เผยแพร่.
• สีเขียว - สีนี้ใช้เมื่อเปรียบเทียบกับชุดข้อมูล Autoruns ก่อนหน้าเพื่อระบุรายการที่ไม่ได้มีครั้งล่าสุด.
• สีเหลือง - รายการเริ่มต้นอยู่ที่นั่น แต่ไฟล์หรืองานที่ชี้ไปยังไม่มีอยู่อีกต่อไป.

เช่นเดียวกับเครื่องมือ SysInternals ส่วนใหญ่คุณสามารถคลิกขวาที่รายการใด ๆ และดำเนินการต่างๆรวมถึงการข้ามไปที่รายการหรือรูปภาพ (ไฟล์จริงใน Explorer) คุณสามารถค้นหาออนไลน์ของชื่อกระบวนการหรือข้อมูลในคอลัมน์ดูคุณสมบัติโดยละเอียดหรือดูว่ารายการนั้นกำลังรันอยู่หรือไม่โดยการค้นหาอย่างรวดเร็วผ่าน Process Explorer - แม้ว่ากระบวนการจำนวนมากจะมีตัวโหลดที่เปิดใช้อย่างอื่นมาก่อน กำลังออกดังนั้นเพียงเพราะคุณลักษณะนั้นแสดงผลลัพธ์ไม่ได้แปลว่าอะไร.

หากคุณคลิกข้ามไปที่รายการคุณจะถูกนำไปที่ Registry Editor ซึ่งคุณจะเห็นคีย์รีจิสทรีนั้นและมองไปรอบ ๆ หากรายการนั้นเป็นอย่างอื่นคุณอาจถูกพาไปยังยูทิลิตี้อื่นเช่น Task Scheduler ความจริงก็คือเวลาส่วนใหญ่การทำงานอัตโนมัติจะแสดงข้อมูลเดียวกันทั้งหมดในอินเทอร์เฟซดังนั้นโดยปกติคุณไม่จำเป็นต้องกังวลจนกว่าคุณจะต้องการเรียนรู้เพิ่มเติม.

เมนูผู้ใช้ช่วยให้คุณสามารถวิเคราะห์บัญชีผู้ใช้ที่แตกต่างกันซึ่งอาจมีประโยชน์จริง ๆ หากคุณโหลดการทำงานอัตโนมัติในบัญชีอื่นบนคอมพิวเตอร์เครื่องเดียวกัน เป็นที่น่าสังเกตว่าคุณจะต้องทำงานเป็นผู้ดูแลระบบเพื่อดูบัญชีผู้ใช้อื่น ๆ บนพีซี.

การตรวจสอบลายเซ็นรหัส

รายการเมนูตัวเลือกตัวกรองจะนำคุณไปยังแผงตัวเลือกที่คุณสามารถเลือกหนึ่งตัวเลือกที่มีประโยชน์มาก: ยืนยันรหัสลายเซ็น วิธีนี้จะตรวจสอบเพื่อให้แน่ใจว่าแต่ละลายเซ็นดิจิทัลได้รับการวิเคราะห์และตรวจสอบและแสดงผลลัพธ์ในหน้าต่าง คุณจะสังเกตเห็นว่ารายการทั้งหมดเป็นสีชมพูในภาพหน้าจอด้านล่างไม่ได้รับการยืนยันหรือไม่มีข้อมูลผู้เผยแพร่.

และสำหรับเครดิตพิเศษคุณอาจสังเกตเห็นว่าภาพหน้าจอด้านล่างนี้ใกล้เคียงกับที่ใกล้ถึงจุดเริ่มต้นยกเว้นในบางรายการในรายการที่ไม่ได้ระบุว่าเป็นสีชมพู ความแตกต่างคือโดยค่าเริ่มต้นโดยไม่ได้เปิดใช้ตัวเลือกยืนยันรหัสลายเซ็นการทำงานอัตโนมัติจะแจ้งเตือนคุณด้วยแถวสีชมพูหากไม่มีข้อมูลผู้เผยแพร่.

วิเคราะห์ระบบออฟไลน์ (เช่นการต่อเชื่อมฮาร์ดไดรฟ์เข้ากับพีซีเครื่องอื่น)

ลองนึกภาพว่าคอมพิวเตอร์ของเพื่อนของคุณมีความยุ่งเหยิงอย่างสมบูรณ์และไม่ยอมบูทหรือบูทช้าๆจนคุณไม่สามารถใช้มันได้ คุณได้ลองใช้เซฟโหมดและตัวเลือกการกู้คืนเช่น System Restore แต่ไม่สำคัญเพราะไม่สามารถใช้งานได้.

แทนที่จะดึงการ์ด“ ติดตั้งใหม่” ซึ่งมักเป็นเพียงการ์ด“ ฉันยอมแพ้” คุณสามารถดึงฮาร์ดไดรฟ์ออกมาแล้วเชื่อมต่อเข้ากับพีซีหรือแล็ปท็อปของคุณด้วยแท่นเสียบฮาร์ดไดรฟ์ USB ที่มีประโยชน์ คุณมีใช่มั้ย จากนั้นคุณเพียงแค่โหลดการทำงานอัตโนมัติและไปที่ไฟล์ -> วิเคราะห์ระบบออฟไลน์.

เรียกดูเพื่อค้นหาไดเรกทอรี Windows ในฮาร์ดไดรฟ์อื่นและโปรไฟล์ผู้ใช้ของผู้ใช้ที่คุณพยายามวินิจฉัยและคลิกตกลงเพื่อเริ่ม.

คุณจะต้องมีสิทธิ์เขียนเพื่อเข้าถึงไดรฟ์แน่นอนเพราะคุณจะต้องบันทึกการตั้งค่าเพื่อลบสิ่งไร้สาระที่คุณพบเจอ.

เปรียบเทียบกับพีซีเครื่องอื่น (หรือติดตั้งใหม่ทั้งหมดก่อนหน้านี้)

ตัวเลือกไฟล์ -> เปรียบเทียบดูเหมือนจะไม่ใช่ตัวเลือก แต่เป็นวิธีที่ทรงพลังที่สุดวิธีหนึ่งในการวิเคราะห์พีซีและดูว่ามีอะไรเพิ่มเข้ามาตั้งแต่ครั้งล่าสุดที่คุณสแกนหรือเปรียบเทียบกับพีซีที่รู้จักกันดี.

ในการใช้คุณสมบัตินี้เพียงแค่โหลด Autoruns บนพีซีที่คุณพยายามตรวจสอบหรือใช้โหมดออฟไลน์ที่เราอธิบายไว้ก่อนหน้านี้จากนั้นมุ่งหน้าไปที่ไฟล์ -> เปรียบเทียบ ทุกสิ่งที่ถูกเพิ่มเข้ามาตั้งแต่เวอร์ชันไฟล์ที่เปรียบเทียบจะปรากฏเป็นสีเขียวสดใส มันง่ายอย่างนั้น หากต้องการบันทึกเวอร์ชันใหม่คุณต้องใช้ตัวเลือกไฟล์ -> บันทึก.

หากคุณต้องการเป็นมืออาชีพคุณสามารถบันทึกการกำหนดค่าใหม่ทั้งหมดจากการติดตั้ง Windows ใหม่และวางไว้บนแฟลชไดรฟ์เพื่อนำติดตัวไปกับคุณ บันทึกเวอร์ชันใหม่ทุกครั้งที่คุณสัมผัสพีซีเป็นครั้งแรกเพื่อให้แน่ใจว่าคุณสามารถระบุ crapware ใหม่ทั้งหมดที่เจ้าของได้เพิ่มไว้อย่างรวดเร็ว.

มองไปที่แท็บ

ดังที่คุณเห็นมาแล้ว Autoruns เป็นยูทิลิตี้ที่เรียบง่าย แต่ทรงพลังซึ่งเกือบทุกคนสามารถใช้งานได้ ฉันหมายความว่าสิ่งที่คุณต้องทำคือยกเลิกการเลือกกล่องใช่มั้ย อย่างไรก็ตามมีประโยชน์ที่จะมีข้อมูลเพิ่มเติมเกี่ยวกับความหมายของแท็บเหล่านี้ทั้งหมดดังนั้นเราจะพยายามและให้ความรู้แก่คุณที่นี่.

หน้าถัดไป: เข้าสู่ระบบงานที่กำหนดเวลาไว้และการไฮแจ็กรูปภาพ