Page d'accueil » école » Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants

    Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants

    La plupart des geeks ont leur outil de prédilection pour gérer les processus qui démarrent automatiquement, que ce soit MS Config, CCleaner ou même le gestionnaire de tâches de Windows 8 - mais aucun d’eux n’est aussi puissant que Autoruns, qui est également notre leçon de la Geek School. aujourd'hui.

    NAVIGATION SCOLAIRE
    1. Quels sont les outils SysInternals et comment les utilisez-vous??
    2. Comprendre Process Explorer
    3. Utilisation de Process Explorer pour résoudre et diagnostiquer
    4. Comprendre le moniteur de processus
    5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
    6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
    7. Utilisation de BgInfo pour afficher des informations système sur le bureau
    8. Utilisation de PsTools pour contrôler d’autres PC à partir de la ligne de commande
    9. Analyse et gestion de vos fichiers, dossiers et lecteurs
    10. Récapitulation et utilisation des outils ensemble

    Autrefois, les logiciels se lancaient automatiquement en ajoutant une entrée au dossier de démarrage du menu Démarrer ou en ajoutant une valeur à la clé Exécuter du registre, mais à mesure que les personnes et les logiciels devenaient plus avisés pour rechercher et supprimer des entrées non souhaitées. , les fabricants de logiciels douteux ont commencé à trouver des moyens de devenir de plus en plus sournois.

    Ces entreprises loufoques ont commencé à comprendre comment charger automatiquement leurs logiciels via des objets d'assistance de navigateur, des services, des pilotes, des tâches planifiées, et même à l'aide de techniques extrêmement avancées telles que le piratage d'images et AppInit_dlls..

    La vérification manuelle de chacune de ces conditions prendrait non seulement beaucoup de temps, mais était pratiquement impossible à effectuer pour une personne moyenne..

    C'est là qu'Autoruns entre et sauve la journée. Bien sûr, vous pouvez utiliser Process Explorer pour parcourir la liste des processus et vous plonger dans les threads et les poignées. Process Monitor peut déterminer exactement quelles clés de registre sont ouvertes par quel processus et vous montrer des quantités incroyables d'informations. Mais ni l'un ni l'autre n'empêche le chargement de crapware ou de logiciels malveillants lors du prochain démarrage de votre PC.

    Bien sûr, une stratégie intelligente serait d'utiliser les trois ensemble. Process Explorer voit ce qui est en cours d'exécution et utilise votre processeur et votre mémoire, Process Monitor voit ce que l'application fait sous le capot, puis Autoruns intervient pour nettoyer les choses afin qu'elles ne reviennent pas.

    Autoruns vous permet de voir presque tout ce qui est chargé automatiquement sur votre ordinateur et de le désactiver aussi simplement qu'en cochant une case. C'est incroyablement facile à utiliser et presque explicite, à l'exception de certaines choses vraiment compliquées que vous devez savoir pour comprendre la signification de certains onglets. C'est ce que cette leçon va enseigner.

    Travailler avec l'interface Autoruns

    Vous pouvez extraire l'outil Autoruns du site Web SysInternals comme tout le reste et l'exécuter sans l'installer. Vous voudrez le faire avant de continuer.

    Remarque: Autoruns ne nécessite pas l'exécution en tant qu'administrateur, mais de manière réaliste, il est plus logique de le faire, car certaines fonctionnalités ne fonctionneront pas aussi bien, et il est fort probable que votre programme malveillant fonctionne également en tant qu'administrateur..

    Lorsque vous lancez l'interface pour la première fois, vous verrez une tonne d'onglets et une liste d'éléments démarrés automatiquement sur votre ordinateur. L'onglet Tout par défaut affiche tout de chaque onglet, mais il peut être un peu long et déroutant. Nous vous conseillons donc de parcourir chaque onglet séparément..

    Il est à noter que par défaut, Autoruns masque tout ce qui est intégré à Windows et configuré pour démarrer automatiquement. Vous pouvez activer l'affichage de ces éléments dans les options, mais nous ne le recommandons pas..

    Désactiver des éléments

    Pour désactiver n'importe quel élément de la liste, vous pouvez simplement supprimer la case à cocher. C’est tout ce que vous avez à faire. Il suffit de parcourir la liste et de supprimer tout ce dont vous n’avez pas besoin, de redémarrer votre ordinateur, puis de le réexécuter pour vérifier que tout va bien..

    Remarque: certains logiciels malveillants surveillent en permanence les emplacements d'où ils déclenchent le démarrage automatique et remettent immédiatement la valeur. Vous pouvez utiliser la touche F5 pour relancer l'analyse et voir si l'une des entrées est revenue après sa désactivation. Si l'un d'entre eux réapparaît, vous devez utiliser Process Explorer pour suspendre ou supprimer ce programme malveillant avant de le désactiver ici..

    Les couleurs

    Comme la plupart des outils SysInternals, les éléments de la liste peuvent être de couleurs différentes. Voici ce qu'ils signifient:

    • Rose - cela signifie qu'aucune information d'éditeur n'a été trouvée ou, si la vérification du code est activée, que la signature numérique n'existe pas ou ne correspond pas, ou qu'il n'y a aucune information d'éditeur.
    • vert - cette couleur est utilisée lors de la comparaison avec un ensemble précédent de données Autoruns pour indiquer un élément qui n'était pas là la dernière fois.
    • Jaune - l'entrée de démarrage est là, mais le fichier ou le travail vers lequel elle pointe n'existe plus.

    De même, comme la plupart des outils SysInternals, vous pouvez cliquer avec le bouton droit de la souris sur n'importe quelle entrée et effectuer un certain nombre d'actions, y compris le saut vers l'entrée ou l'image (le fichier réel dans l'Explorateur). Vous pouvez rechercher en ligne le nom du processus ou les données de la colonne, voir les propriétés détaillées ou voir si cette entrée est en cours d'exécution en effectuant une recherche rapide dans Process Explorer - bien que de nombreux processus aient un chargeur qui lance autre chose avant. quitter, donc juste parce que cette fonctionnalité ne montre aucun résultat ne veut rien dire.

    Si vous avez cliqué sur Aller à l'entrée, vous serez directement redirigé vers l'éditeur de registre, où vous pourrez voir cette clé de registre et regarder autour de vous. Si l'entrée était autre chose, vous pourriez être amené à un autre utilitaire, tel que le Planificateur de tâches. La réalité est que la plupart du temps, Autoruns affiche les mêmes informations directement dans l'interface, vous n'avez donc généralement pas besoin de vous déranger à moins que vous ne vouliez en savoir plus..

    Le menu Utilisateur vous permet d'analyser un compte d'utilisateur différent, ce qui peut s'avérer très utile si vous avez chargé des Autoruns sur un compte différent sur le même ordinateur. Il est intéressant de noter que vous devez évidemment être exécuté en tant qu'administrateur pour voir les autres comptes utilisateur sur le PC..

    Vérification des signatures de code

    L'élément de menu Options de filtrage vous conduit à un panneau d'options où vous pouvez sélectionner une option très utile: Vérifier les signatures de code. Cela permettra de vérifier que chaque signature numérique est analysée et vérifiée et d'afficher les résultats directement dans la fenêtre. Vous remarquerez que tous les éléments en rose dans la capture d'écran ci-dessous ne sont pas vérifiés ou que les informations sur l'éditeur n'existent pas..

    Et pour un crédit supplémentaire, vous remarquerez peut-être que cette capture d'écran ci-dessous est presque identique à celle proche du début, sauf que certains des éléments de la liste n'étaient pas marqués en rose. La différence est que, par défaut, si l'option Vérifier les signatures de code n'est pas activée, Autoruns vous alertera uniquement avec la ligne rose si aucune information d'éditeur n'existe..

    Analyser un système hors ligne (comme pour connecter un disque dur à un autre PC)

    Imaginez que l'ordinateur de votre ami soit complètement en panne et qu'il ne démarre pas ou qu'il démarre si lentement que vous ne pouvez pas vraiment l'utiliser. Vous avez essayé le mode sans échec et des options de récupération telles que la restauration du système, mais cela n'a pas d'importance, car elles sont inutilisables..

    Plutôt que de tirer la carte «Réinstaller», qui est souvent simplement la carte «J'abandonne», vous pouvez extraire le disque dur et le brancher sur votre PC ou ordinateur portable avec votre station d'accueil pour disque dur USB très pratique. Vous en avez un, non? Ensuite, il vous suffit de charger les Autoruns et d'aller dans Fichier -> Analyser le système hors ligne.

    Recherchez le répertoire Windows sur l’autre disque dur, le profil de l’utilisateur que vous essayez de diagnostiquer, puis cliquez sur OK pour démarrer..

    Bien sûr, vous aurez besoin d’un accès en écriture au lecteur, car vous voudrez enregistrer les paramètres pour supprimer tout ce qui est absurde..

    Comparaison avec un autre PC (ou installation propre précédente)

    L'option Fichier -> Comparer semble indéfinissable, mais il peut s'agir de l'un des moyens les plus puissants d'analyser un PC et de voir ce qui a été ajouté depuis la dernière fois que vous avez numérisé, ou de le comparer à un PC vierge connu..

    Pour utiliser cette fonctionnalité, chargez simplement les Autoruns sur le PC que vous essayez d’inspecter, ou utilisez le mode Offline décrit plus haut, puis allez dans Fichier -> Comparer. Tout ce qui a été ajouté depuis la version du fichier comparé sera affiché en vert clair. C'est aussi simple que ça. Pour enregistrer une nouvelle version, vous utiliseriez l'option Fichier -> Enregistrer..

    Si vous voulez vraiment être un professionnel, vous pouvez enregistrer une configuration propre à partir d'une nouvelle installation de Windows et la placer sur un lecteur flash à emporter. Enregistrez une nouvelle version à chaque fois que vous touchez un PC pour la première fois afin de pouvoir identifier rapidement tous les nouveaux logiciels crapware ajoutés par le propriétaire..

    En regardant les onglets

    Comme vous l'avez vu jusqu'à présent, Autoruns est un utilitaire très simple mais puissant qui pourrait probablement être utilisé par presque tout le monde. Je veux dire, tout ce que vous avez à faire est de décocher une case, non? Il est toutefois utile d’avoir plus d’informations sur la signification de tous ces onglets. Nous allons donc essayer de vous renseigner ici..

    Page suivante: Ouverture de session, tâches planifiées et piratage d'images