Autoruns är ett populärt program för Windows att analysera alla olika filer, program och andra objekt som körs vid systemets uppstart.
Det är förmodligen den mest använda verktyg för detta ändamål, och innehåller massor av bra att ha funktioner som att skanna filer på Virustotal, gömmer sig Microsoft poster, eller hantering av autorun-filer om du vill inaktivera eller ta bort objekt direkt inifrån programmet.
Kringgå Autoruns är en uppsats av Kyle Hanslovan och Chris Bisnett från Jägarinna som avslöjar flera skatteflykt metoder som angripare kan använda sig av för att dölja aktiviteter på datorn eller i ett nätverk.
Forskarna avslöjar flera metoder som angripare kan använda för att dölja sin verksamhet. Kapslade kommandon som till exempel kan användas för att köra flera program använder en enda start punkt. Dessa kommandon, till exempel &&, & och || kombinera en eller flera kommandon, vanligtvis genom att lägga till ett skadligt kommando efter ett legitimt kommando.
En av de frågor som uppstår i Autoruns är att många användare har konfigurerat programmet att dölja Microsoft poster som de anses vara rädda av många. Problemet är att dölja Microsoft poster kan dölja dessa kommando-konstruktioner.
Andra tekniker som säkerhet forskare beskriva är:
- Shell32.dll Indirekthet
- DLL Kapning
- SyncAppvPublishingService
- Service DLL Fel
- Sök Efter Tillägg För Bugg
- SIP Kapning
- .INF Skriptlet
Forskarna kom till slutsatsen att Autoruns är ett bra verktyg för att räkna upp autostart-program och filer, men att det inte är ett säkerhetsverktyg.
De föreslår att administratörer och användare använder det för att räkna uppgifter och att de analysera data och verktyg som samlats in med hjälp av andra medel. Angriparna kommer att använda dessa tekniker och mer komplexa för att undgå upptäckt i Autoruns.
Läs även: Använda Windows PowerShell för att installera valfria funktioner
Så långt som saker och är orolig att du kan göra för att göra det svårare för en angripare att dölja något, följande är till hjälp:
- Inte dölja Microsoft och Windows poster i Autoruns. Hittar du alternativet under Val > Dölj Microsoft Poster och Val > Dölj Windows poster. Detta visar mer data, men det är viktigt att se det ur en säkerhetssynpunkt.
- Aktivera “verifiera koden signaturer” och “in virustotal.com” alternativ i Alternativ – > Alternativ för Genomsökning.
- Granska cmd.exe, pcalua, eller SyncAppvPublishingService poster.
- Gå igenom alla tävlingsbidrag och leta efter kapslade kommandon (kan vara lättare att använda kommandoraden för att räkna upp alla och använd sök för verksamheten att gå genom notering).
Nu är Du: hur gör du för att räkna upp autorun-objekt och veterinär dem? (via Deskmodder, Technet -)