自動実行を使用して起動プロセスとマルウェアを処理する
ほとんどのオタクは、MS Config、CCleaner、あるいはWindows 8のタスクマネージャでさえ、自動的に起動するプロセスに対処するための彼らの選択のツールを持っています - しかしそれらのどれもAutorunsのように強力ではありません。今日.
学校のナビゲーション- SysInternalsツールとは何ですか??
- プロセスエクスプローラについて
- Process Explorerを使用したトラブルシューティングと診断
- プロセスモニタについて
- Process Monitorを使用したトラブルシューティングとレジストリハッキングの発見
- 自動実行を使用して起動プロセスとマルウェアを処理する
- BgInfoを使ってデスクトップにシステム情報を表示する
- PsToolsを使用してコマンドラインから他のPCを制御する
- ファイル、フォルダ、ドライブの分析と管理
- ツールをまとめて使用する
昔は、ソフトウェアはスタートメニューのスタートアップフォルダにエントリを追加するか、レジストリのファイル名を指定して実行キーに値を追加することで自動的に起動していました。 、疑わしいソフトウェアのメーカーはますます卑劣になる方法を見つけ始めました.
これらの怪しげなクラップウェア会社は、ブラウザヘルパーオブジェクト、サービス、ドライバ、スケジュールされたタスクを通して、そして画像ハイジャックやAppInit_dllsのようないくつかの非常に高度なテクニックを通してさえも自動的に自分のソフトウェアをロードする方法を考え出しました。.
これらの各条件を手動でチェックするのは時間がかかるだけでなく、平均的な人にとってはほとんど不可能です。.
そこにオートランが登場し、その日を節約します。確かに、Process Explorerを使用してプロセスリストを調べ、スレッドとハンドルを詳しく調べることができます。また、Process Monitorでは、どのレジストリキーがどのプロセスによって開かれているのかを正確に把握し、驚くべき量の情報を表示できます。しかし、次にPCを起動したときに、クラップウェアやマルウェアが再び読み込まれるのを防ぐことはできません。.
もちろん、スマートな戦略は3つすべてを一緒に使うことです。 Process Explorerは現在実行中でCPUやメモリを消費していることを確認し、Process Monitorはアプリケーションが内部で実行していることを確認します。その後、Autorunsが問題を解決するために入ってきます。.
自動実行機能を使用すると、コンピュータに自動的に読み込まれるほぼすべてのものを確認し、チェックボックスをクリックするのと同じくらい簡単に無効にすることができます。いくつかのタブが実際に何を意味するのかを理解するために知っておく必要がある非常に複雑なことを除いて、それは信じられないほど使いやすく、そしてほぼ一目瞭然です。それがこのレッスンが教えることです.
自動再生インターフェイスの操作
SysInternalsのWebサイトから他のすべてのツールと同じようにAutorunsツールを入手し、インストールせずに実行することができます。先に進む前にそれをしたいと思うでしょう.
注意: オートランは管理者として実行する必要はありませんが、実際にはそうしないと機能しない機能がいくつかあり、マルウェアも管理者として実行されている可能性が高いため、これを実行するのが最も理にかなっています。.
あなたが最初にインターフェースを起動するとき、あなたはあなたのコンピュータ上で自動的に開始されているたくさんのタブともののリストを見るでしょう。デフォルトのEverythingタブにはすべてのタブからのすべてのものが表示されますが、少しわかりにくくて時間がかかる場合があるため、各タブを個別に確認することをお勧めします。.
デフォルトでは、AutorunsはWindowsに組み込まれていて自動的に起動するように設定されているものをすべて非表示にします。あなたはオプションでそれらのアイテムの表示を有効にすることができますが、私たちはそれをお勧めしません.
アイテムを無効にする
リスト内の項目を無効にするには、単にチェックボックスを削除します。それだけで、リストを調べて不要なものをすべて削除し、コンピュータを再起動してからもう一度実行して、すべてが正常であることを確認します。.
注意: マルウェアの中には、自動起動をトリガーした場所を常に監視し、その値を即座に元に戻すものもあります。 F5キーを使用すると、再スキャンして無効にした後にエントリが戻ってきたかどうかを確認できます。それらのうちの1つが再び現れた場合、あなたはここでそれを無効にする前にそのマルウェアを中断するか殺すためにProcess Explorerを使用するべきです.
色
ほとんどのSysInternalsツールと同様に、リスト内の項目はさまざまな色にすることができます。それらの意味は次のとおりです。
- ピンク - これは、発行者情報が見つからなかった、またはコード検証がオンになっている場合、デジタル署名が存在しないか一致しないか、発行者情報がないことを意味します。.
- 緑 - この色は、前回のAutorunsデータと比較して、最後に存在しなかった項目を示すときに使用されます。.
- 黄 - 起動エントリはありますが、それが指すファイルまたはジョブはもう存在しません。.
また、ほとんどのSysInternalsツールと同様に、任意のエントリを右クリックして、そのエントリや画像(Explorerの実際のファイル)にジャンプするなど、さまざまな操作を実行できます。プロセスの名前や列内のデータをオンラインで検索したり、詳細なプロパティを確認したり、Process Explorerでクイック検索を実行してそのエントリが実行されているかどうかを確認できます。その機能が結果を表示しないからといって何も意味がないというわけではありません.
[エントリへジャンプ]をクリックした場合は、レジストリエディタに直接移動し、そこで特定のレジストリキーを確認して確認できます。エントリがそれ以外のものである場合は、タスクスケジューラなどの別のユーティリティに移動する可能性があります。現実には、ほとんどの場合、Autorunsはインターフェースに同じ情報をすべて表示します。そのため、もっと知りたい場合を除いて、通常は気にする必要はありません。.
[ユーザー]メニューでは、別のユーザーアカウントを分析できます。これは、同じコンピューターの別のアカウントにオートランを読み込んだ場合に非常に便利です。 PC上の他のユーザーアカウントを表示するには、明らかに管理者として実行する必要があることは注目に値します。.
コード署名の確認
[フィルタオプション]メニュー項目を使用すると、非常に便利なオプションを1つ選択できる[コード署名の検証]オプションパネルが表示されます。これにより、各デジタル署名が分析および検証されたことを確認し、結果をウィンドウに表示します。以下のスクリーンショットのピンク色のアイテムはすべて検証されていないか、発行元情報が存在しないことに気付くでしょう。.
そして、追加の信用のために、あなたは以下のこのスクリーンショットが最初の近くのものとほぼ同じであることに気づくかもしれません、リストの項目のいくつかがピンクでマークされていないことを除いて。違いは、デフォルトでは、コード署名の検証オプションがオンになっていないと、発行者情報が存在しない場合に自動実行がピンク色の行で警告するだけであることです。.
オフラインシステムを分析する(ハードドライブを別のPCに接続する場合と同様)
友達のコンピュータが完全にめちゃくちゃになって起動できないか、起動が遅いために実際には使用できないと想像してください。あなたはシステムの復元のようなセーフモードと回復オプションを試したことがありますが、それは使用できないので問題ではありません。.
多くの場合「あきらめて」カードである「再インストール」カードを引き出すのではなく、便利なUSBハードドライブドックを使ってハードドライブを取り出し、PCまたはラップトップに接続します。お持ちですか?それから、AutorunをロードしてFile - > Analyze Offline Systemに行きます。.
もう一方のハードドライブ上のWindowsディレクトリ、および診断しようとしているユーザーのユーザープロファイルを参照し、[OK]をクリックして起動します。.
無意味に見つけた結果を削除するには、設定を保存する必要があるため、ドライブへの書き込みアクセス権が必要になります。.
他のPCとの比較(または以前のクリーンインストール)
[ファイル] - > [比較]オプションは記述されていないようですが、PCを分析して前回のスキャン以降に追加されたものを確認したり、既知のクリーンPCと比較する最も強力な方法の1つです。.
この機能を使用するには、調べようとしているPCにオートランをロードするか、または前述のオフラインモードを使用してから、[ファイル] - > [比較]を選択します。比較したファイルのバージョン以降に追加されたものはすべて明るい緑色で表示されます。それはそれと同じくらい簡単です。新しいバージョンを保存するには、File - > Saveオプションを使います。.
あなたが本当にプロになりたいのなら、あなたはWindowsの新しいインストールからきれいな設定を保存してあなたと一緒に持っていくためにフラッシュドライブにそれを置くことができます。初めてPCに触れるたびに新しいバージョンを保存して、所有者が追加した新しいクラップウェアをすべてすばやく識別できるようにします。.
タブを見る
これまで見てきたように、Autorunsは非常にシンプルだが強力なユーティリティで、おそらく誰でも使用することができます。箱のチェックを外すだけでいいのですか。ただし、これらすべてのタブの意味についての情報があると便利です。そこで、ここで説明します。.
次のページ:ログオン、スケジュールされたタスク、および画像のハイジャック