Czym jest autostart? Tutaj nie ma wielkiej filozofii, programy oraz usługi uruchamiają się wraz ze startem systemu operacyjnego. Niektóre z instalowanych przez użytkownika aplikacji dają opcje wyboru czy chcemy, aby dana aplikacja uruchamiała się podczas startu systemu czy nie. Zdarzają się również takie sytuacje w których jakiś program uruchamia się automatycznie, a my chcielibyśmy uruchamiać go ręcznie ale nie mamy dostępu do modyfikowania takiej opcji. W systemie Windows mamy wbudowane narzędzie, którym możemy edytować tzw. autostart ale podobnie jak w przypadku Procexp, narzędzie to jest ubogie albo całkowicie wyłączone (w przypadku edycji serwerowych). Poniżej porównanie wersji wbudowanej z narzędziem Autoruns.

Po uruchomieniu narzędzia Autoruns widzimy kilka kolumn:

• Image Path wskazuje pełną ścieżkę do pliku identyfikowanego przez wpis autostartu. Jeżeli plik zostanie usunięty, ścieżka pozostanie natomiast my zostaniemy poinformowani o tym, że plik nie został odnaleziony

• Autoruns Entry wskazuje nazwę pliku / usługi uruchamianej podczas startu systemu
• Description oraz Publisher wskazują opis oraz wydawcę
• Virus Total prezentuje wyniki analizy przeprowadzonej przez skanery antywirusowe

Wyłączanie aplikacji / usług, jest bardzo proste. Wystarczy zaznaczyć wiersz, który nas interesuje a następnie wybrać opcję „Delete„. Pod prawym przyciskiem myszy mamy również dostępne takie opcje jak:

• Jump to Entry przenoszący nas do wpisu w rejestrze systemowym
• Jump to Image przenoszący nas do lokalizacji pliku
• Verify Image weryfikujący cyfrowy podpis aplikacji / usługi
• Check ViruusTotal analizujący plik / usługę przez skanery antywirusowe
• Process Explorer przenoszący nas do narzędzia Procexp z wyszczególnieniem danego procesu
• Search online wyszukujący informacji na temat pliku / usługi w wyszukiwarce internetowej

Narzędzie Autoruns może zostać uruchomione bez uprawnień administracyjnych ale podobnie jak w przypadku Procexp będzie to raczej opcja informacyjna. Po uruchomieniu narzędzia z podniesionymi uprawnieniami, w menu pojawia się dodatkowa pozycja User wskazująca nazwy kont z dostępnymi profilami na komputerze. Wybranie innego użytkownika powoduje ponowny skan do poszukiwania ASEP odpowiadających temu użytkownikowi. Dzięki takiej opcji jesteśmy wstanie wykryć szkodliwe oprogramowanie uruchamiane tylko na wybranym koncie użytkownika.

Nikogo nie powinno dziwić, że nazwa wyświetlana w kolumnie „Publisher” nie jest gwarancją faktycznego wydawcy oprogramowania, które zostało w nieszczególnie przyjazny sposób zmodyfikowane. Najlepszym dowodem będzie weryfikacja podpisu cyfrowego. Jeśli plik jest podpisany poprawnym certyfikatem do podpisywania kodu, który pochodzi od głównego urzędu certyfikacji zaufanego w tym komputerze to w kolumnie pojawi się informacja „Verified„. W innym przypadku na naszej liście pojawią się wpisy w kolorze różowym z dopiskiem „Not Verified„, którym należałoby się lepiej przyjrzeć. Poniżej przykład aplikacji monitorującej stan drukarki. Nie jest to złośliwe oprogramowanie, ale ze względu na brak certyfikatu na moim komputerze aplikacja Autoruns informuje nas o potencjalnym zagrożeniu.

Oprócz przeglądania lokalnego systemu, Autoruns umożliwia przeglądanie lokalizacji ASEP z wyłączonej instancji Windows z poziomu innej działającej instalacji systemu. Dzięki temu rozwiązaniu możemy identyfikować źle skonfigurowane wpisy autostartu, przez które pojawił się problem z uruchomieniem systemu lub sprawdzić czy zweryfikowane certyfikaty rzeczywiście pochodzą z prawidłowego urzędu certyfikującego. Złośliwe oprogramowanie potrafi podstępnie wykorzystywać wszelkie zasoby sytemu na którym żerują.

Domyślnie po uruchomieniu programu widzimy dość obszerną listę aplikacji / usług uruchamianych podczas startu systemu. Poszukując „rozwiązania problemu” możemy skorzystać z filtrów ukrywających to czego jesteśmy pewni. Hide Windows Entries / Hide Microsoft Entries ukryje wpisy autostartu dotyczące samego systemu Windows oraz innych programów od Microsoft-u. Po uruchomieniu skanowania wpisów przez serwis VirusTotal możemy wybrać opcję Hide VirusTotal Clean Entries co będzie jednoznaczne z ukryciem czystych przeskanowanych przez skanery antywirusowe wpisów.

Oprócz filtrów możemy skorzystać z kart, które kategoryzują nam wpisy:

• Logon: wskazuje wszystkie wpisy autostartu, które są przetwarzane podczas startu systemu Windows i logowania się użytkownika
• Explorer: wskazuje wszystkie wpisy autostartu bezpośrednio powiązane i uruchamiane podrzędnie do Explorera systemu Windows
• Internet Explorer: wskazuje wpisy autostartu związane z uruchamianiem rozszerzeń dla Internet Explorer-a
• Scheduled Tasks: wskazuje wpisy skonfigurowane do uruchomienia przez „Harmonogram zadań„
• Services: wskazuje usługi uruchamiane podczas startu systemu
• Drivers: wskazuje sterowniki uruchamiane podczas startu systemu
• Codecs: wskazuje kodeki ładowane przez aplikacje odtwarzające multimedia
• Boot Execute: wskazuje pliki wykonywalne trybu natywnego Windows, które są uruchamiane przez „Session Manager-a„
• Image Hijacks: wskazuje wpisy uruchamiające inne programy niż te, których oczekiwał użytkownik
• AppInit: wskazuje biblioteki ładowane do procesu, ładowanego przez użytkownika
• KnownDLLs: pomaga poprawić wydajność systemu poprzez zapewnienie, że wszystkie procesy Windows używają tych samych wersji określonych bibliotek DLL
• Winlogon: wskazuje wpisy, które powiązane są z procesem Winlogon.exe
• Winsock Providers: wskazuje dostawców zarejestrowanych w systemie, w tym tych, którzy są wbudowani w Windows
• Print Monitors: wskazuje biblioteki DLL skonfigurowane w podkluczach gałęzi rejestru
• LSA Providers: wskazuje pakiety, które definiują lub rozszerzają uwierzytelnianie użytkowników w systemie Windows za pośrednictwem mechanizmu Local Security Authority
• Network Providers: wskazuje zainstalowanych dostawców obsługujących komunikację sieciową
• WMI: wskazuje wcześniej predefiniowane akcje występujące po wykonaniu określonego zdarzenia w systemie
• Sidebar Gadgets: dostępne w Windows Vista oraz Windows 7 wskazuje gadżety paska bocznego
• Office: wskazuje wtyczki i dodatki zarejestrowane do podłączenia do interfejsów programów z pakietu Microsoft Office

Na sam koniec warto wspomnieć o konsolowej wersji AutorunsC. Jej jedyny cel to zbieranie danych bez możliwości wyłączania lub usuwania wpisów.

Mamy nadzieje, że i tym razem udało nam się zaciekawić Was kolejnym narzędziem z pakietu Sysinternals. Teraz przejdziemy do Process Monitor-a 🙂