“AutoRuns”的意思、由来-中文百科全书

简介

Autorunsfor Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在“启动”文件夹和注册表相关键中的程序。此外，Autoruns还可以修改包括：Windows 资源管理器的 Shell 扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。

Autoruns 作为Sysinternals Suite （故障诊断工具套装）的一部分，现在的最新发布是 9.57 版本，可运行于 WindowsXP、Windows Server 2003 和更高版本的 Windows 操作系统。该软件还包括一个相同功能的命令行版本Autorunsc，可以把结果报表以 CSV 格式输出。Autoruns的官方网站是：http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx(英文) 和 http://technet.microsoft.com/zh-cn/bb963902.aspx （中文）。

AutoRuns介绍

AutoRuns是一款出色的启动项目管理工具，首先我们来谈一下它的作用：AUTORUNSR的作用就是检查开机自动加载的所有程序，例如硬件驱动程序，windows核心启动程序和应用程序．它比windows自带的msconfig.exe还要强大，通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序．还能够详细的把启动项目加载的所有程序列出来。比如logon,explorer,还有ＩＥ上加载的dll跟其它组键．

“全部”--顾名思义，全部的开机自启动项都在这个标签下啦。另外，它也是双击autoruns.exe弹出窗口缺省定位的标签，包括其他标签的所有内容。

“登陆”--细心的朋友可以发现，该标签下HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run、HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run这两个注册表子项的内容与系统配置实用程序“启动”标签下打勾的项目是完全一样的，甚至“登陆”的图标也和系统配置实用程序MSCONFIG.EXE的图标完全相同，呵呵！当然，除了以上项目外，该标签还包括HKLM\\System\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\StartupPrograms、HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit、HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell这三个自启动子项的内容，这些是用系统配置实用程序“启动”标签看不到的内容。

“资源管理器”：对应资源管理器在注册表上的子项和值项。

“英特网浏览器”：对应的是IE所有浏览器帮助对象（BHO）、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。

“计划任务”：和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的，一般为空。

“服务”：即HKLM\\System\\CurrentControlSet\\Services对应的开机自启动服务的项目。由于具备开机自启动功能，而且依靠ROOTKIT技术可以隐蔽运行，所以是病毒（流氓软件）最爱光临的地方。

“驱动”：即HKLM\\System\\CurrentControlSet\\Services对应的开机自启动驱动程序的项目。同上，又一个病毒经常光临的乐园。

“启动执行”：在系统登陆前启动的本地映像文件（即WINDOWS映像文件的对称）及自启动项的情况。形象地理解一下，就是貌似瑞星的系统登陆前扫描这样的自启动项。

“映像劫持”：在此标签下的内容对应的应用程序，开机后即被系统强制劫持而不能运行（就是我们经常说的IFEO，即系统自带的应用程序映像劫持功能）。

“APPINIT”：初始化动态链接库，其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外，一般此项目应为空。

“KNOWNDLLS”：系统中已知的DLL文件。

“WINLOGON”：WINLOGON登陆项对应的自启动注册表子项及值项。

“WINSOCK提供商”：显示已注册的WINSOCK协议，包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容，恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容，但不能禁用他们。

“打印监视器”：显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。

“LSA提供商”：LSA的全称为“Local Security Authority”——本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并和存储在账号数据库中的密钥进行对比，如果对比的结果匹配，LSA就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA就认为用户的身份无效。这时用户就无法登录计算机.

为此名字的文件也有可能是病毒。

词条	AutoRuns
释义	简介 AutoRuns介绍简介 Autorunsfor Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在“启动”文件夹和注册表相关键中的程序。此外，Autoruns还可以修改包括：Windows 资源管理器的 Shell 扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。 Autoruns 作为Sysinternals Suite （故障诊断工具套装）的一部分，现在的最新发布是 9.57 版本，可运行于 WindowsXP、Windows Server 2003 和更高版本的 Windows 操作系统。该软件还包括一个相同功能的命令行版本Autorunsc，可以把结果报表以 CSV 格式输出。Autoruns的官方网站是：http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx(英文) 和 http://technet.microsoft.com/zh-cn/bb963902.aspx （中文）。 AutoRuns介绍 AutoRuns是一款出色的启动项目管理工具，首先我们来谈一下它的作用：AUTORUNSR的作用就是检查开机自动加载的所有程序，例如硬件驱动程序，windows核心启动程序和应用程序．它比windows自带的msconfig.exe还要强大，通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序．还能够详细的把启动项目加载的所有程序列出来。比如logon,explorer,还有ＩＥ上加载的dll跟其它组键． “全部”--顾名思义，全部的开机自启动项都在这个标签下啦。另外，它也是双击autoruns.exe弹出窗口缺省定位的标签，包括其他标签的所有内容。 “登陆”--细心的朋友可以发现，该标签下HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run、HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run这两个注册表子项的内容与系统配置实用程序“启动”标签下打勾的项目是完全一样的，甚至“登陆”的图标也和系统配置实用程序MSCONFIG.EXE的图标完全相同，呵呵！当然，除了以上项目外，该标签还包括HKLM\\System\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\StartupPrograms、HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit、HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell这三个自启动子项的内容，这些是用系统配置实用程序“启动”标签看不到的内容。 “资源管理器”：对应资源管理器在注册表上的子项和值项。 “英特网浏览器”：对应的是IE所有浏览器帮助对象（BHO）、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。 “计划任务”：和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的，一般为空。 “服务”：即HKLM\\System\\CurrentControlSet\\Services对应的开机自启动服务的项目。由于具备开机自启动功能，而且依靠ROOTKIT技术可以隐蔽运行，所以是病毒（流氓软件）最爱光临的地方。 “驱动”：即HKLM\\System\\CurrentControlSet\\Services对应的开机自启动驱动程序的项目。同上，又一个病毒经常光临的乐园。 “启动执行”：在系统登陆前启动的本地映像文件（即WINDOWS映像文件的对称）及自启动项的情况。形象地理解一下，就是貌似瑞星的系统登陆前扫描这样的自启动项。 “映像劫持”：在此标签下的内容对应的应用程序，开机后即被系统强制劫持而不能运行（就是我们经常说的IFEO，即系统自带的应用程序映像劫持功能）。 “APPINIT”：初始化动态链接库，其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外，一般此项目应为空。 “KNOWNDLLS”：系统中已知的DLL文件。 “WINLOGON”：WINLOGON登陆项对应的自启动注册表子项及值项。 “WINSOCK提供商”：显示已注册的WINSOCK协议，包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容，恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容，但不能禁用他们。 “打印监视器”：显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。 “LSA提供商”：LSA的全称为“Local Security Authority”——本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并和存储在账号数据库中的密钥进行对比，如果对比的结果匹配，LSA就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA就认为用户的身份无效。这时用户就无法登录计算机. 为此名字的文件也有可能是病毒。
随便看	中国民歌与乡土社会中国民工潮的经济学分析中国民工网中国民谷地理中国民航大学飞行学院中国民航大学海航科技大厦中国民航大学航空自动化学院中国民航大学空中交通管理学院中国民航大学民航安全科学研究所中国民航大学图书馆中国民航大学舞蹈团中国民航大学心理互助会中国民航发展第十二个五年规划中国民航发展论坛中国民航飞机全集中国民航飞行签派员执照理论考试指导教程中国民航飞行学院大学生社团联合会中国民航飞行学院飞行环境实验室中国民航飞行学院飞行技术与仿真中心中国民航飞行学院飞行俱乐部中国民航飞行学院航空心理实验室中国民航飞行学院空防安全研究室中国民航飞行学院民航安全工程研究所中国民航飞行学院民航信息技术研究所中国民航飞行学院模拟飞行实验室