Autoruns v14.11
作者:Mark Russinovich
发布日期:2024 年 2 月 6 日
下载 Autoruns 和 Autorunsc (2.8 MB)
立即从 Sysinternals Live 运行。
使用 ZoomIt 创建
简介
此实用工具对任何启动监视器的自动启动位置都有最全面的了解,它显示在系统启动或登录期间,以及在启动各种内置 Windows 应用(如 Internet Explorer、Explorer 和媒体播放器)时,配置为运行哪些程序。 这些程序和驱动程序包含在启动文件夹、Run、RunOnce 和其他注册表项中。 Autoruns 报告 Explorer 外壳扩展、工具栏、浏览器帮助程序对象、Winlogon 通知、自动启动服务等等。 Autoruns 远超其他自动启动实用工具。
Autoruns 的“隐藏已签名的 Microsoft 项”选项可帮助放大已添加到系统中的第三方自动启动映像,并支持查看为系统上配置的其他帐户配置的自动启动映像。 下载包中还包含命令行等效项,可输出 CSV 格式 Autorunsc。
你可能会惊讶于有这么多可执行文件是自动启动的!
使用情况
只需运行 Autoruns,它就会向显示当前配置的自动启动应用程序,以及可用于自动启动配置的注册表和文件系统位置的完整列表。 Autoruns 显示的自动启动位置包括登录项、Explorer 加载项、Internet Explorer 加载项(包括浏览器帮助对象 (BHO))、Appinit DLL、映像劫持、启动执行映像、Winlogon 通知 DLL、Windows 服务和 Winsock 分层服务提供商、媒体编解码器等。 切换选项卡以查看不同类别的自动启动。
要查看配置为自动运行的可执行文件的属性,请选择它,然后使用“属性”菜单项或工具栏按钮。 如果 Process Explorer 正在运行,并且有活动进程正在执行所选的可执行文件,则条目菜单中的 Process Explorer 菜单项将打开执行所选映像的进程的进程属性对话框。
导航到显示的注册表或文件系统位置或自动启动项目的配置,方法是选择该项目并使用“跳转到项目”菜单项或工具栏按钮,然后导航到自动启动映像的位置。
要禁用自动启动项,请取消选中其复选框。 要删除自动启动配置项,请使用“删除”菜单项或工具栏按钮。
“选项”菜单包括几个显示筛选选项,例如仅显示非 Windows 项,以及访问扫描选项对话框,从中可以启用签名验证、Virus Total 哈希和文件提交。
在“用户”菜单中选择项以查看不同用户帐户的自动启动映像。
有关显示选项的更多信息和其他信息,请参阅联机帮助。
Autorunsc 使用情况
Autorunsc 是 Autoruns 的命令行版本。 其使用情况语法为:
使用情况:autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]
参数 | 说明 |
---|---|
-a | 自动启动项选择: |
* | 全部。 |
b | 启动执行。 |
d | Appinit DLL。 |
e | Explorer 加载项。 |
g | 边栏小工具(Vista 和更高) |
h | 映像劫持。 |
i | Internet Explorer 加载项。 |
k | 已知 DLL。 |
l | 登录启动(这是默认设置)。 |
m | WMI 项。 |
n | Winsock 协议和网络提供商。 |
o | 编解码器。 |
p | 打印机监视器 DLL。 |
r | LSA 安全提供程序。 |
s | 自动启动服务和非禁用驱动程序。 |
t | 计划的任务。 |
w | Winlogon 项。 |
-c | 将输出打印为 CSV。 |
-ct | 将输出打印为制表符分隔值。 |
-h | 显示文件哈希。 |
-m | 隐藏 Microsoft 项(如果与 -v 一起使用,则为已签名项)。 |
-s | 验证数字签名。 |
-t | 以标准化 UTC (YYYYMMDD-hhmmss) 显示时间戳。 |
-u | 如果启用了 VirusTotal 检查,则显示 VirusTotal 未知或具有非零检测的文件,否则仅显示未签名的文件。 |
-x | 将输出打印为 XML。 |
-v[rs] | 基于文件哈希查询恶意软件的 VirusTotal。 添加“r”,打开具有非零检测的文件的报表。 如果指定了“s”选项,会将报告为“以前未扫描”的文件上传到 VirusTotal。 请注意,扫描结果可能在 5 分钟或更长时间内不可用。 |
-vt | 在使用 VirusTotal 功能之前,必须接受 VirusTotal 服务条款。 如果尚未接受条款,并且忽略了此选项,系统会以交互方式提示你。 |
-z | 指定要扫描的脱机 Windows 系统。 |
user | 指定将显示其自动运行项目的用户帐户名称。 指定“*”以扫描所有用户配置文件。 |
相关链接
- Windows 内部书籍:关于 Windows 内部机制的权威性书籍的官方更新和勘误页,由 Mark Russinovich 和 David Solomon 编写。
- Windows Sysinternals 管理员参考:Mark Russinovich 和 Aaron Margosis 编写的 Sysinternals 实用工具官方指南,其中包含各项工具的说明、其功能、如何使用这些工具进行故障排除,以及它们的实际使用示例。
下载
下载 Autoruns 和 Autorunsc (2.8 MB)
立即从 Sysinternals Live 运行。