Microsoft autoruns for windows: start up manager for power users
Содержание:
- Признаки заражения флешки
- Selenium + AutoIT. Автоматизация тестирования Windows окон
- Usage
- Что такое Autorun.inf и зачем он нужен?
- Запланированные задачи, запускаемые службы, компоненты «Офиса», гаджеты и принтеры
- Сравнение с другим ПК (или предыдущая чистая установка)
- Зачем нужна автозагрузка
- Introduction
- [ExclusiveContentPaths] Keys
- []Ключи содержимого
- Autorun-вирус. Признаки заражения системы.
- Autorunsc Usage
- Usage
- Работа с программой Autoruns
Признаки заражения флешки
Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.
Рассмотрим типичный пример зараженного съемного диска:
На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun.inf и скрытая папка RECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.
Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).
Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.
Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.
Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:
На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.
Selenium + AutoIT. Автоматизация тестирования Windows окон
Меня зовут Иван Сидоренко, я инженер по тестированию в компании Digital Design. Передо мной стояла задача разработки авто-тестов для одного из наших проектов с помощью инструмента Selenium WebDriver на языке Java. Подробнее про это вы можете прочитать в моей прошлой статье
Selenium — это инструмент для автоматизации веб-приложений в различных браузерах. В ходе разработки авто-тестов мне попался сценарий, при котором необходимо взаимодействовать с Windows окном для загрузки файлов. К сожалению, Selenium не умеет работать с Windows окнами, поэтому нужно было найти альтернативное решение.
В ходе поисков выбор пал на AutoIT. Этот инструмент разработан для автоматизации задач в Microsoft Windows, что и было необходимо. В этой статье я опишу работу с AutoIT для решения поставленной задачи. Предполагается, что у вас уже развернута среда разработки с подключенным Selenium WebDriver. В качестве примера будет использоваться окно для загрузки фотографий на одном из сайтов по редактированию фото. Итак, приступим.
1. Скачиваем и устанавливаем AutoIT
2. Переходим на один из сервисов по загрузке фотографий, например, сюда. Здесь необходимо нажать кнопку «Загрузить фотографии», для получения такого Windows окна
3. Теперь переходим в папку AutoIT3 и выбираем Au3Info.exe
4. Au3Info — это инструмент, который позволяет получить информацию о необходимом окне для автоматизации. Чтобы получить информацию о конкретном элементе просто перетащите курсор из блока Finder Tool на элемент окна. Получим значения атрибутов поля ввода элемента «Имя файла»
Для использования в скрипте AutoIT нам понадобиться атрибуты Title = ‘Открытие’ и Class = ‘Edit’
5. Перейти в папку AutoIt3\SciTE и выбрать SciTE, здесь напишем такой простой скрипт
Здесь ControlFocus
— метод, который устанавливает фокус на элементе окна «Имя файла»
— Первый параметр это значение Title, нужного окна, в нашем случае оно равно ‘Открытие’ — Второй параметр необязателен — Третий параметр это объедение значений атрибута Class и Instance, т.е. получается Edit1
ControlSetText
— метод, с помощью которого происходит ввод текста в input элемента «Имя файла»
- Первый параметр — значение Title
- Второй параметр необязателен
- Третий параметр это объедение значений атрибута Class и Instance, т.е. получается Edit1
- Четвертый параметр — текст, который будет введен в input, здесь прописываем путь до файла, который будем прикреплять
ControlClick — кликает по кнопке «Открыть»
- Первый параметр — значение Title
- Второй параметр необязателен
- Третий параметр это объедение значений атрибута Class и Instance, т.е. получается Button1
6. Сохраняем скрипт как Autoit
7. Теперь, чтобы запустить скрипт, его нужно скомпилировать. Для компиляции скрипта есть два варианта — либо для 64 разрядной системы, либо для 86. Выберете соответствующий вашей операционной системе.
8. Получили скомпилированный файл AutoItScript.exe Проверим его работоспособность — перейдем на <www.iloveimg.com/ru/photo-editor»>сервис редактированию фото и нажмем «Выбрать изображение». Теперь запустим AutoItScript.exe
9. Теперь этот скрипт можно добавить в Selenium. Например для Java, такое добавление будет выглядеть вот так:
Runtime.getRuntime().exec(«С:\\auto\\AutoItScript.exe»); Это решение отличается высокой стабильностью. Также из-за того, что в конечном итоге получаем исполняемый файл это решение можно использовать с разными языками программирования. Недостатком является то, что такой скрипт нельзя использоваться в headless моде — режиме, при котором не происходит запуск браузера.
Надеюсь эта статья поможет вам в автоматизации тестирования!
Usage
Simply run Autoruns and it shows you the currently configured
auto-start applications as well as the full list of Registry and file
system locations available for auto-start configuration. Autostart
locations displayed by Autoruns include logon entries, Explorer add-ons,
Internet Explorer add-ons including Browser Helper Objects (BHOs),
Appinit DLLs, image hijacks, boot execute images, Winlogon notification
DLLs, Windows Services and Winsock Layered Service Providers, media
codecs, and more. Switch tabs to view autostarts from different
categories.
To view the properties of an executable configured to run automatically,
select it and use the Properties menu item or toolbar button. If
Process Explorer is
running and there is an active process executing the selected executable
then the Process Explorer menu item in the Entry menu will open
the process properties dialog box for the process executing the selected
image.
Navigate to the Registry or file system location displayed or the
configuration of an auto-start item by selecting the item and using
the Jump to Entry menu item or toolbar button, and navigate to
the location of an autostart image.
To disable an auto-start entry uncheck its check box. To delete an
auto-start configuration entry use the Delete menu item or toolbar
button.
The Options menu includes several display filtering options, such as
only showing non-Windows entries, as well as access to a scan options
dialog from where you can enable signature verification and Virus Total
hash and file submission.
Select entries in the User menu to view auto-starting images for
different user accounts.
More information on display options and additional information is
available in the on-line help.
Что такое Autorun.inf и зачем он нужен?
Autorun.inf – это файл, который автоматически запускает установку драйверов, приложений, программного обеспечения с накопителя. И изначально был создан для того, чтобы облегчить жизнь простого пользователя, когда тот, например, решит переустановить Windows. Безусловно, авторан полезен, если использовать его по назначению.
Но, как говорится, нет худа без добра… Есть горе-программисты, которые создают вирусы и с помощью Autorun.inf их распространяют. И чаще всего это осуществляется через разнообразные портативные устройства хранения информации, которые как раз и выступают в качестве носителя компьютерного паразита.
Отсюда следует, что сам файл автозапуска абсолютно безвреден и устанавливает лишь то, что было в нём прописано.
Запланированные задачи, запускаемые службы, компоненты «Офиса», гаджеты и принтеры
Что касается запланированных задач, отключать рекомендуется только те, которые знаете. Если назначение процесса вам не известно, лучше такие компонент без особой надобности не трогать вообще. Со службами особо тоже экспериментировать не следует. Если уж назрела такая необходимость, отключайте, опять же, только те, что знаете или на которых стоят отметки об угрозах. Вкладки драйверов, кодеков, провайдеров или образом лучше не редактировать.
А вот компоненты запуска MS Office можно деактивировать все абсолютно, поскольку в большинстве своем они относятся исключительно к ненужным дополнениям. Наконец, если в не пользуетесь службами печати (нет подключенных принтеров) и боковыми панелями, все элементы соответствующих вкладок тоже можно отключить.
И только после применения всех вышеописанных настроек можно выполнить перезагрузку системы и убедиться, что стартует она намного шустрее, чем до этого.
Сравнение с другим ПК (или предыдущая чистая установка)
Параметр File → Compare («Файл» → «Сравнить») кажется невзрачным, но это может быть один из самых эффективных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.
Чтобы использовать эту функцию, просто загрузите Autoruns на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в File → Compare. Всё, что было добавлено с момента сравнения версии файла, будет отображаться ярко-зелёным цветом. Это так просто. Чтобы сохранить новую версию, воспользуйтесь опцией File → Save (Файл → Сохранить).
Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить её на флэш-накопитель, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы быть уверенным, что вы сможете быстро идентифицировать все новое вредоносное ПО, добавленное владельцем.
Зачем нужна автозагрузка
Автозагрузка (не путать с автозапуском — функцией автоматического открытия программ с подключенного диска или флешки) нужна для того, чтобы после включения компьютера запускались как программы, необходимые для работы Windows, так и посторонние программы. Например, антивирус обязан запускаться одним из первых, чтобы опередить возможные угрозы. Рабочий стол (explorer.exe) — тоже программа, часть операционной системы, запускается чуть ли не самым первым, даже раньше антивирусов.
Способов автоматического запуска программ много, их можно отследить специальными программами. О самой лучшей далее, но сначала о том, какие программы чаще всего прописываются в автозагрузку Windows.
Что бывает в автозагрузке
Антивирусы. Это наиболее частые программы, которые сидят в автозагрузке большинства компьютеров. Конечно, при условии, что вы заботитесь о безопасности компьютера.
Компоненты драйверов. Например, драйвер видеокарт Intel прописывают программы с малопонятными названиями hkcmd и igfxtray, предназначенные для работы горячих клавиш и отображения значка настроек в трее (возле часов). От AMD и nVidia тоже есть схожие программы.
Драйвера для цифровых камер любят прописывать в автозагрузке программы, отслеживающие факт подключения камеры и предлагающие что-нибудь сделать с фотографиями.
Драйвер звуковых карт Realtek дает прописку программе RAVCpl64.exe — это Диспетчер Realtek HD, без которого звук в некоторых случаях не будет направлен на подключенные наушники.
Полезность многого софта, идущего с драйверами, сомнительна, но нужно быть осторожным. К счастью, все можно включить обратно.
Программы для корректной работы ноутбука от производителя. Если Windows установлена на ноутбуке, то в автозагрузке будет n-ое количество программ для управления Wi-Fi, горячими клавишами, энергосбережением и так далее. От чего-то можно отказаться, что-то необходимо.
Если после переустановки Windows на ноутбуке половина функций не заработала даже после инсталляции нужных драйверов — проблема именно в отсутствующем вспомогательном софте. Идите на сайт производителя и скачивайте требуемое со странички вашей модели ноутбука.
Программы для корректной работы настольного ПК. Обладатели сборок ПК от именитых производителей Acer, Dell и других могут обнаружить софт, подобный вспомогательному для ноутбука. Чаще всего это программы для шифрования и резервного копирования информации, удаление которых работе компьютера не помешает.
Тулбары, рекламный софт, вирусы. Частые гости на компьютерах даже продвинутых пользователей. Выскакивает реклама при запуске браузера? Компьютер слащавым голосом обещает прибыль от вложений денег в очередную пирамиду? Ваш пароль от вконтакте постоянно крадут? Это все они — трояны и рекламная хр… фигня.
Особняком стоят службы. Программы, которые мы не видим, выполняющие важную (и не очень) работу. Стандартные службы Windows лучше не отключать, потому что это чревато, сторонние — можно. Например, популярный плеер PowerDVD устанавливает службу PowerDVD RC Service (PDVDServ.exe). Она нужна для управления воспроизведением видео с пульта управления. Вот только он есть далеко не всегда, службу можно отключить.
Системные программы. Без них ваш компьютер будет работать не так, как надо. Сюда относится программа Проводник (explorer.exe), по совместительству — Рабочий стол, службы и драйвера, являющиеся частью системы. Их легко отличить от посторонних, отключать не следует.
Зачем чистить автозагрузку?
Может, оставить все как есть?
Если вам лень, вы боитесь или все устраивает — закройте вкладку и живите спокойно дальше. Но если в вас живет мятежный дух, который хочет, чтобы ваш компьютер быстрее грузился, чтобы перестали появляться непонятные программы — очистка автозагрузки будет верным шагом. Просто будьте внимательны и делайте это на свежую голову.
Научившись чистить автозагрузку, вы сможете облегчить работу любому компьютеру (или ноутбуку), который попадет в ваши руки. Для этого нужно немного вашего времени, а также программа вроде Ускорителя компьютера или Autoruns.
Introduction
This utility, which has the most comprehensive knowledge of
auto-starting locations of any startup monitor, shows you what programs
are configured to run during system bootup or login, and when you start
various built-in Windows applications like Internet Explorer, Explorer
and media players. These programs and drivers include ones in your
startup folder, Run, RunOnce, and other Registry keys.
Autoruns reports Explorer shell extensions, toolbars, browser helper
objects, Winlogon notifications, auto-start services, and much
more. Autoruns goes way beyond other autostart utilities.
Autoruns’ Hide Signed Microsoft Entries option helps you to zoom
in on third-party auto-starting images that have been added to your
system and it has support for looking at the auto-starting images
configured for other accounts configured on a system. Also included in
the download package is a command-line equivalent that can output in CSV
format, Autorunsc.
You’ll probably be surprised at how many executables are launched
automatically!
[ExclusiveContentPaths] Keys
Folders listed in this section limit Autoplay to searching only those folders and their subfolders for content. They can be given with or without a leading backslash (\). In either case they are taken as absolute paths from the root directory of the media. In the case of folders with spaces in their names, do not enclose them in quotes as the quotes are taken literally as part of the path.
Use of this section is intended to allow content authors both to communicate the intent of content to Autoplay and to shorten its scan time by limiting the scan to certain significant areas of the media.
The following are all valid paths
The section is only supported under Windows Vista and later.
[]Ключи содержимого
Существует три ключа типа файла: мусикфилес, пиктурефилес и видеофилес.
Если одно из этих значений имеет значение true с учетом значения 1, y, Yes, t или true, Пользовательский интерфейс автозапуска отображает обработчики, связанные с этим типом содержимого, независимо от того, существует ли на носителе содержимое этого типа.
Если одно из этих значений имеет значение false с учетом значения 0, n, No, f или false, то пользовательский интерфейс автозапуска не отображает обработчики, связанные с этим типом содержимого, даже если на носителе обнаружено содержимое этого типа.
Использование этого раздела предназначено для того, чтобы позволить авторам содержимого передавать данные для автоматического запуска. Например, компакт-диск можно классифицировать как содержащий только музыкальное содержимое, даже если у него есть изображения и видеоролики, и в противном случае они будут отображаться как смешанное содержимое.
раздел поддерживается только в Windows Vista и более поздних версиях.
Autorun-вирус. Признаки заражения системы.
Большая часть autorun вирусов, проникая в систему, как правило меняют конфигурацию системы таким образом, чтобы пользователь не мог каким либо образом противостоять угрозе. Вот самые распространенные из них:
- При запуске диспетчера задач Windows появляется сообщение «Диспетчер задач отключен администратором» (о том как исправить такую ситуацию читайте в статье Диспетчер задач отключен администратором. Решение).
- При запуске редактора реестра Windows появляется сообщение «Редактирование реестра запрещено администратором системы».
- На дисках создается скрытый файл autorun.inf, а при удалении создается снова.
- Невозможно открыть или удалить файл autorun.inf. Windows сообщает, что доступ к файлу невозможен.
- При попытке открытия диска открывается диалог «Выберите программу для открытия этого файла»
- При попытке открытия диска он стал открываться в отдельном окне;
Из меню Проводника (в Xp) Сервис исчез пункт Свойства папки.
Autorunsc Usage
Autorunsc is the command-line version of Autoruns. Its usage syntax is:
Usage: autorunsc
| ]]
Parameter | Description |
---|---|
-a | Autostart entry selection: |
* | All. |
b | Boot execute. |
d | Appinit DLLs. |
e | Explorer addons. |
g | Sidebar gadgets (Vista and higher) |
h | Image hijacks. |
i | Internet Explorer addons. |
k | Known DLLs. |
l | Logon startups (this is the default). |
m | WMI entries. |
n | Winsock protocol and network providers. |
o | Codecs. |
p | Printer monitor DLLs. |
r | LSA security providers. |
s | Autostart services and non-disabled drivers. |
t | Scheduled tasks. |
w | Winlogon entries. |
-c | Print output as CSV. |
-ct | Print output as tab-delimited values. |
-h | Show file hashes. |
-m | Hide Microsoft entries (signed entries if used with -v). |
-s | Verify digital signatures. |
-t | Show timestamps in normalized UTC (YYYYMMDD-hhmmss). |
-u | If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files. |
-x | Print output as XML. |
-v | Query VirusTotal for malware based on file hash. Add ‘r’ to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the ‘s’ option is specified. Note scan results may not be available for five or more minutes. |
-vt | Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven’t accepted the terms and you omit this option, you will be interactively prompted. |
-z | Specifies the offline Windows system to scan. |
user | Specifies the name of the user account for which autorun items will be shown. Specify ‘*’ to scan all user profiles. |
Usage
Simply run Autoruns and it shows you the currently configured
auto-start applications as well as the full list of Registry and file
system locations available for auto-start configuration. Autostart
locations displayed by Autoruns include logon entries, Explorer add-ons,
Internet Explorer add-ons including Browser Helper Objects (BHOs),
Appinit DLLs, image hijacks, boot execute images, Winlogon notification
DLLs, Windows Services and Winsock Layered Service Providers, media
codecs, and more. Switch tabs to view autostarts from different
categories.
To view the properties of an executable configured to run automatically,
select it and use the Properties menu item or toolbar button. If
Process Explorer is
running and there is an active process executing the selected executable
then the Process Explorer menu item in the Entry menu will open
the process properties dialog box for the process executing the selected
image.
Navigate to the Registry or file system location displayed or the
configuration of an auto-start item by selecting the item and using
the Jump to Entry menu item or toolbar button, and navigate to
the location of an autostart image.
To disable an auto-start entry uncheck its check box. To delete an
auto-start configuration entry use the Delete menu item or toolbar
button.
The Options menu includes several display filtering options, such as
only showing non-Windows entries, as well as access to a scan options
dialog from where you can enable signature verification and Virus Total
hash and file submission.
Select entries in the User menu to view auto-starting images for
different user accounts.
More information on display options and additional information is
available in the on-line help.
Работа с программой Autoruns
Интерфейс программы
После запуска окно программы будет выглядеть так:
Программа официально поддерживает только английский язык, но и так разобраться с программой несложно.
Все автозапускаемые сервисы в программе разбиты по разделам (1). Открыв вкладку с нужным разделом, в центре окна появится список относящихся к нему сервисов.
Если открыта вкладка Everything (отображение сервисов сразу со всех разделов), то в списке будет видно разделение по разделам (2). Некоторые сервисы отмечены жёлтым цветом (3). Это значит, что файла для запуска этой программы / службы / сервиса в Windows не существует и осталась лишь запись в реестре. Такие записи можно удалить без последствий. Розовым (4) выделены те сервисы, которые программа считает подозрительными. Однако, не стоит ориентироваться целиком на логику программы, поскольку она часто считает подозрительными даже реально безопасные программы.
Всё, что отмечено галочками (как правило, это более 90% из списка) у вас загружается автоматически либо при старте системы, либо при выполнении иных событий.
Удобнее всего пользоваться основным разделом Everything, поскольку через него выводится сразу всё. Отдельно, как правило, может потребоваться заглянуть в разделы:
- Scheduled Tasks. Программы, запуск которых запланирован через утилиту Windows «Планировщик задач».
- Services. Здесь перечисляются автозапускаемые службы Windows.
- Drivers. Тут будут отображаться загружаемые с Windows драйвера (программы для управления устройствами компьютера).
- Winlogon. Программы, запускаемые при загрузке Windows.
- Logon. Программы, запускаемые при входе пользователя в Windows.
Все остальные разделы проще смотреть через общую вкладку Everything.
Список вывода автозагрузки сделан в виде таблицы. Назначение колонок таблицы:
- Autorun Entry. Здесь указан сам автозапускаемый файл, драйвер, сервис.
- Description. В этой колонке выводится описание к каждому пункту автозагрузки, из которого часто можно увидеть, для чего служит тот или иной пункт.
- Publisher. Издатель файла, т. е. разработчик. Если указано в скобках Verified, значит, издатель проверен, т. е. это оригинальный файл, а не какой-то подменённый (например, вирусом).
- Image Path. Путь к файлу в проводнике Windows.
- Timestamp. Время модификации файла. Иногда здесь может отображаться некорректное время, например, в будущем.
- VirusTotal. Результат проверки файлов автозапуска на возможность заражения через сайт virustotal.com.
Настройка автозагрузки
Чтобы отключить нужные сервисы из автозагрузки просто снимите рядом с ними галочки. Изменения применяются сразу и при следующей загрузке Windows те сервисы, с которых вы ранее сняли галочки уже не будут загружаться.
Работать с автозагрузкой нужно очень внимательно! При отключении многих сервисов ваша система может в итоге не загрузиться!
Настоятельно рекомендую, перед тем как вы начнёте посредством отключения каких-то пунктов из автозагрузки искать источник проблемы, выключить в настройках отображение всех системных сервисов Windows, а именно от компании Microsoft. Для этого откройте меню Options и выберите Hide Microsoft Entries. Пункт Hide Windows Entries выключится автоматически.
Пункт Hide Empty Location оставляйте всегда включённым, поскольку он позволяет скрыть пустые записи.
При отключении сервисов из автозагрузки, соответствующие им записи в реестре Windows всё равно останутся. Чтобы полностью удалить сервис из автозагрузки, кликните по нему правой кнопкой мыши и выберите Delete.
Удалять следует только те пункты автозагрузки, которые остались после удаления самих программ! Удалив что-то из автозагрузки, восстановить это затем уже не получится! Поэтому прежде чем что-то основательно удалять, для начала проверьте работу компьютера просто отключив нужный сервис, не удаляя его.
Чтобы посмотреть, к какому файлу и (или) записи в реестре Windows относится тот или иной пункт автозагрузки, кликните по нему правой кнопкой мыши и выберите один из вариантов: Jump to Entry или Jump to Image.
Выбрав первый вариант, откроется реестр Windows сразу на той записи, которая соответствует выбранному пункту автозапуска.
Выбрав второй вариант, откроется папка проводника Windows с тем файлом, который соответствует выбранному пункту автозапуска.
Это полезно тогда, когда вам нужно знать, что конкретно за файл находится в автозапуске и где он расположен наглядно в проводнике Windows.
Таким образом, вы можете отключать либо ненужные программы, сервисы, драйверы из автозапуска системы, либо методом последовательного отключения (например, по 5-10 шт.) и проверки, находить источник проблемы в работе Windows.