网站设计制作中心,株洲在线论坛二手市场,高安网站建设,网站运营报告实验目的 #xff08;1#xff09;了解注册表的相关知识#xff1b; #xff08;2#xff09;了解程序在开机过程中的自启动#xff1b; #xff08;3#xff09;掌握Autoruns在注册表和启动项方面的功能#xff1b;预备知识 注册表是windows操作系统中的一个核心数据…实验目的 1了解注册表的相关知识 2了解程序在开机过程中的自启动 3掌握Autoruns在注册表和启动项方面的功能预备知识 注册表是windows操作系统中的一个核心数据库其中存放着各种参数直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等联网计算机的整个系统的设置和各种许可文件扩展名与应用程序的关联硬件部件的描述、状态和属性性能记录和其他底层的系统状态信息以及其他数据等。 AutoRuns是一款启动项目管理工具作用就是检查开机自动加载的所有程序例如硬件驱动程序windows核心启动程序和应用程序它比windows自带的msconfig.exe还要强大通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序还能够详细的把启动项目加载的所有程序列出来。实验环境 Autoruns 11.70 可运行在Windows XP 及更高版本、Windows Server 2003 及更高版本。 本实验的运行环境是win 7。实验内容和步骤任务描述通过Autoruns实现对启动项的管理查看不同类别的启动项1. 启动程序 进入实验机桌面打开“启动项管理工具AutoRuns使用实验”文件夹解压“实验工具Autoruns11.70.zip”。 双击“Autoruns.exe”启动程序进入程序主界面默认显示的是“everything”选项卡下的内容显示所有的开机自启动项打钩代表当前设置开机启动不打勾代表取消开机启动 “logon”选项卡:用户登录到系统时自启动的项目 “Explorer”选项卡对应资源管理器在注册表上的子项和值项 “Internet Explorer”选项卡对应的是IE所有浏览器帮助对象BHO、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。 “Scheduled Tasks”选项卡和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的一般为空。 “Services”选项卡HKLM\System\CurrentControlSet\Services对应的开机自启动服务的项目。由于具备开机自启动功能而且依靠ROOTKIT技术可以隐蔽运行所以是病毒流氓软件最爱光临的地方。 “Drivers”选项卡HKLM\System\CurrentControlSet\Services对应的开机自启动驱动程序的项目病毒经常光临的乐园。 “Boot Execute”在系统登陆前启动的本地映像文件即WINDOWS映像文件的对称及自启动项的情况。如瑞星在系统登陆前自动扫描这样的自启动项。 “Image Hijacks”选项卡在此标签下的内容对应的应用程序开机后即被系统强制劫持而不能运行就是我们经常说的IFEO即系统自带的应用程序映像劫持功能。 “AppInit”选项卡初始化动态链接库其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外一般此项目应为空。 “Known DLLs”选项卡系统中已知的DLL文件。 “Winlogon”选项卡登录系统时登陆项对应的自启动注册表子项及值项。 “Winsock Providers”选项卡显示已注册的WINSOCK协议包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容但不能禁用他们。 “Print Monitors”选项卡显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。 “LSA Providers”选项卡LSA的全称为“Local Security Authority”——本地安全授权Windows系统中一个相当重要的服务所有安全认证相关的处理都要通过这个服务。它从 Winlogon.exe中获取用户的账号和密码然后经过密钥机制处理并和存储在账号数据库中的密钥进行对比如果对比的结果匹配LSA就认为用户的身份有效允许用户登录计算机。如果对比的结果不匹配LSA就认为用户的身份无效。这时用户就无法登录计算机。2.“File”下拉菜单 “find”查找和定位包含输入字段的所有自启动子项和值项。 “save”保存当前的启动项到一个日志文件。 “compare”用于比较当前状态和以前保存过的日志的差异并设置标记。如果选择这个菜单项目则弹出一个对话框要求你选择一个你保存过的以前的日志选定所需要的日志后点“打开”如果选定的日志的自启动子项、自启动值项与当前的状态有差异Autoruns将以绿色突出显示表示前后的自启动项存在不符便于找出差异。如下图所示
3.“Entry”下拉菜单 “Delete”如果选定了一个自启动值项该菜单项即可用可以用来删除所选择的启动项目不能一次删除多个项目也不能删除开机自启动项目注册表子项 “Copy”可以复制所选择自启动子项和自启动值项可用“粘贴”将启动子项和自启动值项的内容复制到其他需要用的地方。 “Jump to Entry”选择这个菜单项后将自动定位到所选自启动子项和自启动值项在注册表的相应位置多用来对有问题但不能删除的自启动值项进行编辑以修改被病毒强行修改的一些系统核心的自启动值项的注册表值项值。 “Jump to Image”跳转到启动项对应的文件所在目录。 “Search Online”在网上搜索启动项对应的文件 “Process Explorer”需要其他软件的支持“Process Explorer”是另外一个小工具。 “Properties”可以快速显示自启动值项对应文件的属性十分方便的功能一些时候可以通过查找文件属性相关数据判断该文件是否正常如创建时间等数据。4.“option”选项下的“Font”主要是进行字体的设置5.“option”选项下的“Filter Options” “Include empty locations“即包括空白启动位置如果AUTORUNS找不到自启动值项的启动位置该值项将以空白显示。也就是说如果AUTORUN找不到映像文件对应的自启动项目选择这个菜单将显示这个AUTORUNS不能识别的自启动项虽然自启动项目的名称和说明可能都是空的。勾选或取消勾选后要用“刷新”才有效。 “Show only per-user locations”:只显示一个用户下的信息。 “Verify code signatures”个很实用的功能是用来指验证所有自启动值项的文件签名Windows下的硬件有一个签名的功能它是为了保证所有的驱动文件是经过MICROSOFT CORPORATION测试符合HAL兼容性如果核对通过则可基本排除自启动值项是恶意软件的启动项目。勾选后要用“刷新”才有效。 “Hide Microsoft entries”可以隐藏微软认证的项目因为微软认证的项目不再显示可供怀疑的自启动子项、自启动值项大幅度减少使发现不正常的自启动值项的难度和工作量降低。勾选后要用“刷新”才有效。6.“User” 该菜单项目的下拉菜单项目根据操作系统的不同、用户帐户的不同显示的菜单项目的名称和个数也不同包括“操作系统版本-用户帐户名”和“操作系统版本-超级管理员用户帐户名”。有多少用户帐户就有多少个菜单项目。比如该菜单项的下拉菜单。用鼠标左键勾选择不同项目可以实时切换不同帐户下自启动子项和自启动值项哪个菜单项前打勾就表示当前显示的是哪个帐户的自启动子项目和自启动值项。7. 项目操作 选择一个启动项目右击“Jump to Entry”会跳转到对应的注册表项“Jump to Image”跳转到文件所在“Delete”则是删除启动项及相应的注册表项8. 特色功能 比起注册表编辑器庞大的数据库来说AUTORUNS显得更加专业--只管理开机自启动项别的不管使用起来更简便和有针对性。 利用“File”—“Compare”功能可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项使检验添加自启动项的正常与否变得更加方便。 “Verify code signature”、“Hide Microsoft Entries”这两个功能使得判断某个自启动子项和自启动值项是否是恶意软件更加简单否则项目太多一般有200多个会看着发晕的。 用“Jump to”菜单项目建立了与注册表之间的快速切换特别适合用来调用注册表编辑器来编辑一些被恶意软件强行插入病毒模块字段的注册表值项值。 “Properties”菜单项目可以直接在自启动项目上用右键调出直接定位并显示自启动项指向映像文件的“属性”由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件自启动项是否正常
