Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants

Table des matières:

Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants

Vidéo: Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants

Vidéo: Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
Vidéo: COVID-19: "Des droits fondamentaux ont été violés" | Suzette Sandoz - YouTube 2024, Mars
Anonim
La plupart des geeks ont leur outil de prédilection pour gérer les processus qui démarrent automatiquement, que ce soit MS Config, CCleaner ou même le gestionnaire de tâches de Windows 8 - mais aucun d’eux n’est aussi puissant que Autoruns, qui est aussi notre leçon de la Geek School. aujourd'hui.
La plupart des geeks ont leur outil de prédilection pour gérer les processus qui démarrent automatiquement, que ce soit MS Config, CCleaner ou même le gestionnaire de tâches de Windows 8 - mais aucun d’eux n’est aussi puissant que Autoruns, qui est aussi notre leçon de la Geek School. aujourd'hui.

NAVIGATION SCOLAIRE

  1. Quels sont les outils SysInternals et comment les utilisez-vous?
  2. Comprendre Process Explorer
  3. Utilisation de Process Explorer pour résoudre et diagnostiquer
  4. Comprendre le moniteur de processus
  5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
  6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
  7. Utilisation de BgInfo pour afficher des informations système sur le bureau
  8. Utiliser PsTools pour contrôler d'autres PC à partir de la ligne de commande
  9. Analyse et gestion de vos fichiers, dossiers et lecteurs
  10. Récapitulation et utilisation des outils ensemble

Autrefois, les logiciels se lancaient automatiquement en ajoutant une entrée au dossier de démarrage du menu Démarrer ou en ajoutant une valeur à la clé Exécuter du registre, mais à mesure que les personnes et les logiciels devenaient plus avisés pour rechercher et supprimer des entrées non souhaitées., les fabricants de logiciels douteux ont commencé à trouver des moyens de devenir de plus en plus sournois.

Ces entreprises loufoques en crapware ont commencé à chercher un moyen de charger automatiquement leurs logiciels via des objets d'assistance de navigateur, des services, des pilotes, des tâches planifiées et même à l'aide de techniques extrêmement avancées telles que le piratage d'images et AppInit_dlls.

La vérification manuelle de chacune de ces conditions prendrait non seulement beaucoup de temps, mais était pratiquement impossible à effectuer pour une personne moyenne.

C’est là que Autoruns entre et sauve la journée. Bien sûr, vous pouvez utiliser Process Explorer pour parcourir la liste des processus et vous plonger dans les threads et les poignées. Process Monitor peut déterminer exactement quelles clés de registre sont ouvertes par quel processus et vous montrer des quantités incroyables d'informations. Mais ni l'un ni l'autre n'empêche le chargement de crapware ou de logiciels malveillants lors du prochain démarrage de votre PC.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Autoruns vous permet de voir presque tout ce qui est chargé automatiquement sur votre ordinateur et de le désactiver simplement en cochant une case à cocher. C’est incroyablement facile à utiliser et presque explicite, à l’exception de certaines choses vraiment compliquées que vous devez savoir pour comprendre la signification de certains onglets. C’est ce que cette leçon va enseigner.

Travailler avec l'interface Autoruns

Vous pouvez extraire l'outil Autoruns du site Web SysInternals comme tout le reste et l'exécuter sans l'installer. Vous voudrez le faire avant de continuer.

Remarque: Autoruns n’exige pas d’exécution en tant qu’administrateur, mais dans la pratique, il est tout à fait judicieux de le faire, car certaines fonctionnalités ne fonctionneront pas aussi bien, et il est fort probable que votre programme malveillant fonctionne également en tant qu’administrateur.

Lorsque vous lancez l'interface pour la première fois, vous verrez une tonne d'onglets et une liste d'éléments démarrés automatiquement sur votre ordinateur. L'onglet Tout par défaut affiche tous les éléments de chaque onglet, mais cela peut être un peu long et déroutant. Nous vous conseillons donc de parcourir chaque onglet séparément.

Il est à noter que par défaut, Autoruns masque tout ce qui est intégré à Windows et configuré pour démarrer automatiquement. Vous pouvez activer l'affichage de ces éléments dans les options, mais nous ne le recommandons pas.
Il est à noter que par défaut, Autoruns masque tout ce qui est intégré à Windows et configuré pour démarrer automatiquement. Vous pouvez activer l'affichage de ces éléments dans les options, mais nous ne le recommandons pas.

Désactiver des éléments

Pour désactiver n'importe quel élément de la liste, vous pouvez simplement supprimer la case à cocher. C’est tout ce que vous avez à faire: parcourez la liste et supprimez tout ce dont vous n’avez pas besoin, redémarrez votre ordinateur, puis relancez-le pour vous assurer que tout va bien.

Remarque:certains logiciels malveillants surveillent en permanence les emplacements d'où ils déclenchent le démarrage automatique, et remettent immédiatement la valeur. Vous pouvez utiliser la touche F5 pour relancer l'analyse et voir si l'une des entrées est revenue après sa désactivation. Si l'un d'entre eux réapparaît, vous devez utiliser Process Explorer pour suspendre ou supprimer ce logiciel malveillant avant de le désactiver ici.

Les couleurs

Comme la plupart des outils SysInternals, les éléments de la liste peuvent être de couleurs différentes. Voici ce qu'ils signifient:

  • Rose - cela signifie qu'aucune information d'éditeur n'a été trouvée, ou si la vérification du code est activée, cela signifie que la signature numérique n'existe pas ou ne correspond pas, ou qu'il n'y a aucune information d'éditeur.
  • vert - cette couleur est utilisée lors de la comparaison avec un ensemble précédent de données Autoruns pour indiquer un élément qui n’était pas là la dernière fois.
  • Jaune - L’entrée de démarrage est là, mais le fichier ou le travail qu’il pointe n’existe plus.

De même, comme la plupart des outils SysInternals, vous pouvez cliquer avec le bouton droit de la souris sur n'importe quelle entrée et effectuer un certain nombre d'actions, y compris le saut vers l'entrée ou l'image (le fichier réel dans l'Explorateur). Vous pouvez rechercher en ligne le nom du processus ou les données de la colonne, voir les propriétés détaillées ou voir si cette entrée est en cours d'exécution en effectuant une recherche rapide dans Process Explorer - bien que de nombreux processus aient un chargeur qui lance autre chose avant. quitter, donc le fait que cette fonctionnalité ne montre aucun résultat ne veut rien dire.

Si vous avez cliqué sur Sauter à l'entrée, vous serez directement dirigé vers l'éditeur de registre, où vous pourrez voir cette clé de registre et regarder autour de vous. Si l'entrée était autre chose, vous pourriez être amené à un autre utilitaire, tel que le Planificateur de tâches.La réalité est que la plupart du temps, Autoruns affiche les mêmes informations directement dans l’interface. Vous n’avez donc généralement pas besoin de vous en soucier à moins de vouloir en savoir plus.
Si vous avez cliqué sur Sauter à l'entrée, vous serez directement dirigé vers l'éditeur de registre, où vous pourrez voir cette clé de registre et regarder autour de vous. Si l'entrée était autre chose, vous pourriez être amené à un autre utilitaire, tel que le Planificateur de tâches.La réalité est que la plupart du temps, Autoruns affiche les mêmes informations directement dans l’interface. Vous n’avez donc généralement pas besoin de vous en soucier à moins de vouloir en savoir plus.
Le menu Utilisateur vous permet d'analyser un compte d'utilisateur différent, ce qui peut s'avérer très utile si vous avez chargé des Autoruns sur un compte différent sur le même ordinateur. Il est à noter que vous devrez évidemment exécuter en tant qu'administrateur pour voir les autres comptes utilisateur sur le PC.
Le menu Utilisateur vous permet d'analyser un compte d'utilisateur différent, ce qui peut s'avérer très utile si vous avez chargé des Autoruns sur un compte différent sur le même ordinateur. Il est à noter que vous devrez évidemment exécuter en tant qu'administrateur pour voir les autres comptes utilisateur sur le PC.
Image
Image

Vérification des signatures de code

L'élément de menu Options de filtrage vous conduit à un panneau d'options dans lequel vous pouvez sélectionner une option très utile: Vérifier les signatures de code. Cela permettra de vérifier que chaque signature numérique est analysée et vérifiée et d'afficher les résultats directement dans la fenêtre. Vous remarquerez que tous les éléments en rose dans la capture d'écran ci-dessous ne sont pas vérifiés ou que les informations sur l'éditeur n'existent pas.

Et pour plus de crédit, vous remarquerez peut-être que cette capture d'écran ci-dessous est presque identique à celle proche du début, sauf que certains des éléments de la liste n'étaient pas marqués en rose. La différence est que, par défaut, si l'option Vérifier les signatures de code n'est pas activée, Autoruns vous alertera uniquement avec la ligne rose si aucune information d'éditeur n'existe.

Image
Image

Analyser un système hors ligne (comme pour connecter un disque dur à un autre PC)

Imaginez que l’ordinateur de votre ami soit complètement en panne et ne démarre pas ou ne démarre pas si lentement que vous ne pouvez pas vraiment l’utiliser. Vous avez essayé le mode sans échec et les options de récupération telles que la restauration du système, mais cela n’a aucune importance, car elles sont inutilisables.

Plutôt que de tirer la carte «Réinstaller», qui est souvent simplement la carte «J'abandonne», vous pouvez extraire le disque dur et le brancher sur votre PC ou ordinateur portable avec votre station d'accueil pour disque dur USB très pratique. Vous en avez un, non? Ensuite, il vous suffit de charger les Autoruns et d'aller dans Fichier -> Analyser le système hors ligne.

Recherchez le répertoire Windows sur l’autre disque dur, le profil de l’utilisateur que vous essayez de diagnostiquer, puis cliquez sur OK pour démarrer.
Recherchez le répertoire Windows sur l’autre disque dur, le profil de l’utilisateur que vous essayez de diagnostiquer, puis cliquez sur OK pour démarrer.
Bien entendu, vous aurez besoin d’un accès en écriture au lecteur, car vous voudrez enregistrer les paramètres pour supprimer tout ce qui est absurde.
Bien entendu, vous aurez besoin d’un accès en écriture au lecteur, car vous voudrez enregistrer les paramètres pour supprimer tout ce qui est absurde.

Comparaison avec un autre PC (ou installation propre précédente)

L'option Fichier -> Comparer semble indéfinissable, mais il peut s'agir de l'un des moyens les plus puissants d'analyser un PC et de voir ce qui a été ajouté depuis la dernière fois que vous avez numérisé, ou de le comparer à un PC vierge connu.

Pour utiliser cette fonctionnalité, chargez simplement les Autoruns sur le PC que vous essayez d’inspecter ou utilisez le mode Hors ligne décrit plus haut, puis allez dans Fichier -> Comparer. Tout ce qui a été ajouté depuis la version du fichier comparé sera affiché en vert clair. C'est aussi simple que ça. Pour enregistrer une nouvelle version, utilisez l’option Fichier -> Enregistrer.

Si vous voulez vraiment être un professionnel, vous pouvez enregistrer une configuration propre à partir d'une nouvelle installation de Windows et la placer sur un lecteur flash à emporter. Enregistrez une nouvelle version à chaque fois que vous touchez un PC pour vous assurer que vous pouvez identifier rapidement tous les nouveaux logiciels crapware ajoutés par le propriétaire.
Si vous voulez vraiment être un professionnel, vous pouvez enregistrer une configuration propre à partir d'une nouvelle installation de Windows et la placer sur un lecteur flash à emporter. Enregistrez une nouvelle version à chaque fois que vous touchez un PC pour vous assurer que vous pouvez identifier rapidement tous les nouveaux logiciels crapware ajoutés par le propriétaire.

En regardant les onglets

Comme vous l’avez vu jusqu’à présent, Autoruns est un utilitaire très simple mais puissant qui pourrait probablement être utilisé par presque tout le monde. Je veux dire, tout ce que vous avez à faire est de décocher une case, non? Il est toutefois utile d’avoir plus d’informations sur la signification de tous ces onglets. Nous allons donc essayer de vous renseigner ici.

Page suivante: Ouverture de session, tâches planifiées et piratage d'images

Conseillé: