Autokjør er et populært program for Windows til å analysere alle de forskjellige filer, programmer og andre elementer som kjører ved systemoppstart.
Det er trolig den mest brukte verktøy for dette formålet, og har mange fine å ha funksjoner som for eksempel skanning av filer på Virustotal, skjule Microsoft oppføringer, eller ledelse av autokjør-filer til å deaktivere eller slette elementer direkte fra programmet.
Hvis du unngår Autokjør er et forsknings-papir av Kyle Hanslovan og Chris Bisnett fra Huntress som avslører flere skatteunndragelser metoder som ondsinnede brukere kan gjøre bruk av for å skjule aktiviteter på datamaskinen eller i et nettverk.
Forskerne avdekke flere metoder som angripere kan bruke for å skjule sin aktivitet. Nestede kommandoer for eksempel kan brukes til å kjøre flere programmer bruker en enkel oppstart element. Disse kommandoene, f.eks. &&, & eller || kombinere ett eller flere kommandoer, vanligvis ved å legge til en ondsinnet kommandoen etter en lovlig kommando.
Ett av problemene som oppstår i Autokjør er at mange brukere har konfigurert programmet til å skjule Microsoft oppføringer som de anses lagre av mange. Problemet er at å skjule Microsoft oppføringer kan skjule disse kommando konstruksjoner.
Andre teknikker som sikkerhet forskere beskriver er:
- Shell32.dll Indirection
- DLL-Kapring
- SyncAppvPublishingService
- Service DLL Feil
- Extension Søk For Feil
- SIP-Kapring
- .INF Skriplet
Forskerne kommet til den konklusjon at Autokjør er et flott verktøy for opplisting oppstart programmer og filer, men det er ikke et sikkerhetsverktøy.
De foreslår at administratorer og brukere som kan bruke det for å spesifisere data, og at de analyserer data verktøyet samlet inn ved hjelp av andre midler. Angriperne vil bruke disse teknikkene og mer komplekse de å unngå å bli oppdaget i Autokjør.
Les også: Bruk Windows PowerShell til å installere ekstra funksjoner
Så langt som ting er opptatt av at du kan gjøre for å gjøre det mer vanskelig for angriperne å skjule noe, det følgende er nyttig:
- Ikke skjul Microsoft og Windows oppføringer i Autokjør. Du finn det alternativet under Valg > Skjul Microsoft Oppføringer og Valg > Skjul Windows oppføringer. Dette viser mer data, men det er viktig å se det fra et sikkerhetsmessig synspunkt.
- Aktivere “bekreft koden signaturer” og “sjekk virustotal.com” valg på Valg > søkealternativer.
- Gjennomgå alle cmd.exe, pcalua, eller SyncAppvPublishingService oppføringer.
- Gå gjennom alle bidragene og se for nestede kommandoer (det kan være lettere å bruke kommandolinjen alternativer for å spesifisere alle og bruke finn operasjoner for å gå gjennom listen).
Nå er Du: hvordan vil du oppsummere autokjør-elementer og vet dem? (via Deskmodder, Technet -)