如何利用Autoruns有效管理电脑开机启动项

怎么使用Autoruns管理开机启动项

Autoruns是一款由Sysinternals（现为微软的一部分）开发的系统工具，用于查看和管理Windows系统中的启动项、服务、计划任务等。这款工具在应急响应和系统维护中尤为重要，因为它提供了详尽的信息和控制能力，使得系统管理员和安全人员能够快速识别和处理潜在的恶意程序。下面将从多个维度详细介绍如何使用Autoruns来管理开机启动项。

一、Autoruns的下载与安装

首先，我们需要从官方网站或可信来源下载Autoruns工具。可以通过Sysinternals的官方网站（已被微软收购）或GitCode等可信代码仓库获取该工具。下载后，将压缩包解压到任意目录，然后双击运行Autoruns.exe即可启动该工具。

二、Autoruns的界面与功能介绍

启动Autoruns后，会看到主界面上有很多选项卡，每个选项卡对应不同类型的启动项。以下是几个关键选项卡的介绍：

1. 所有项目（Everything）：这个选项卡显示所有开机运行的项目，包括从不同选项卡汇总的所有启动项。可以在这里管理任何启动项，但建议根据分类进行更精细的管理。

2. 登录（Logon）：这是最重要的选项卡之一，几乎所有第三方应用程序的启动项都会在这里显示。该选项卡从Windows的各个位置获取信息，如“开始”菜单、注册表键等，提供了最全面的启动项记录。

3. 资源管理器（Explorer）：这个选项卡记录与Windows文件资源管理器相关的扩展和插件。这些扩展对Windows启动的影响通常很小，但仍可以查看或删除无用的条目。

4. 计划任务（Scheduled Tasks）：该选项卡显示系统中的所有计划任务，包括预设的进程，这些进程会按照触发条件在特定时间激活。计划任务也是隐藏恶意软件的常用方法。

5. 服务（Services）：这个选项卡包括运行重要应用程序所必需的服务，以及可能拖慢计算机速度的垃圾进程。建议浏览此列表中的未经验证条目，并删除不需要的服务。

6. 驱动程序（Drivers）：此选项卡显示开机时自动加载的设备驱动程序。伪装成驱动程序的病毒相对较少，但仍需警惕。

7. 其他选项卡：还包括Codecs（编解码器）、Boot Execute（引导执行）、Image Hijacks（映像劫持）、AppInit（应用程序初始化）、Known DLLs（已知DLL文件）、WinLogon（Winlogon登录项）、Winsock Providers（Winsock提供商）、Print Monitors（打印监视器）、LSA Providers（LSA提供商）、Network Providers（网络提供商）、WMI（Windows管理规范）等。这些选项卡较少使用，可能没有任何条目，但其中的程序可能是附加组件或低级别进程。

三、如何使用Autoruns管理启动项

1. 检查启动项：

使用Autoruns可以查看所有在系统启动或登录时自动运行的程序。这些程序包括硬件驱动程序、Windows核心启动程序和应用程序。通过Autoruns，我们可以看到一些在msconfig（系统配置实用程序）中无法查看到的病毒、木马和恶意插件程序。

2. 优化启动项：

根据分类选项卡，可以优化系统的启动项。以“登录”选项卡为例，该选项卡下的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表子项的内容与系统配置实用程序“启动”标签下打勾的项目完全相同。除了这些项目外，还包括其他几个自启动子项的内容，这些是用系统配置实用程序无法看到的。可以通过取消不需要项目的勾选来优化启动项。

3. 管理服务和计划任务：

在“服务”选项卡中，可以查看所有配置为在系统启动时自动启动的Windows服务。由于服务具备开机自启动功能，且可以隐蔽运行，因此是病毒和流氓软件常光顾的地方。同样，在“计划任务”选项卡中，可以查看和管理系统中的所有计划任务。通过右键菜单，可以选择禁用或删除不需要的服务和计划任务。

4. 高级功能：

Autoruns还具备一些高级功能，如代码签名验证，可以帮助识别恶意程序。通过检查文件的数字签名、公司和描述栏中的内容、程序的物理路径等信息，可以进一步确认是否为恶意程序。此外，Autoruns还支持离线分析功能，可以在Windows无法启动或已被恶意软件感染的情况下，识别和删除有问题或配置不正确的自启动项。

5. 导出和比较启动项：

Autoruns允许将启动项记录以制表符分隔文本和二进制（ARN）格式导出。制表符分隔文本文件可以导入Excel表格进行进一步分析。通过比较不同系统的启动项记录，可以找出差异项，从而优化和修复系统。

四、注意事项

1. 谨慎操作：

在删除或禁用启动项时，务必确认该项是否为系统必需，避免误操作导致系统不稳定。