Autoruns est un programme populaire pour Windows pour analyser tous les types de fichiers, des programmes, et d’autres éléments qui s’exécutent au démarrage du système.
C’est sans doute le plus utilisé de l’outil à cette fin, et inclut beaucoup de agréable d’avoir des fonctionnalités telles que la numérisation, les fichiers sur Virustotal, cachant Microsoft entrées, ou de la gestion de l’exécution automatique des fichiers de désactiver ou de supprimer des éléments directement à partir du programme.
Se soustraire à Autoruns est un document de recherche par Kyle Hanslovan et Chris Bisnett de Chasseuse qui révèle de multiples méthodes d’évasion que des utilisateurs malveillants pourraient l’utiliser pour cacher des activités sur l’ordinateur ou en réseau.
Les chercheurs révèlent plusieurs méthodes que les attaquants peuvent utiliser pour cacher leur activité. Imbriqués les commandes par exemple peut être utilisé pour exécuter plusieurs programmes à l’aide d’un seul élément de démarrage. Ces commandes, par exemple,&&, & ou || combiner une ou plusieurs commandes, généralement par l’ajout d’un malveillant de commande après un légitime de commande.
L’une des questions qui se pose dans Autoruns est que de nombreux utilisateurs ont configuré le programme de cacher Microsoft entrées qu’ils sont considérés comme enregistrer par de nombreux. Le problème est que cacher Microsoft entrées peuvent masquer ces commande constructions.
D’autres techniques que les chercheurs en sécurité de décrire sont:
- Shell32.dll Indirection
- DLL Hijacking
- SyncAppvPublishingService
- Service DLL Bug
- Extension De La Recherche Afin De Bug
- SIP Détournement
- .INF Scriptlets
Les chercheurs arrivent à la conclusion que Autoruns est un excellent outil pour l’énumération des programmes de démarrage et les fichiers, mais que ce n’est pas un outil de sécurité.
Ils suggèrent que les administrateurs et les utilisateurs de l’utiliser pour énumérer des données, et qu’ils analysent les données de l’outil recueillies à l’aide d’autres moyens. Les attaquants vont utiliser ces techniques et plus complexes pour échapper à la détection dans Autoruns.
Lire aussi: Utilisation de Windows PowerShell pour installer les fonctionnalités en option
Autant que les choses sont intéressé que vous pouvez faire pour le rendre plus difficile pour les pirates de cacher quelque chose, ce qui suit est utile:
- Ne cachez pas Microsoft et Windows entrées dans Autoruns. Vous trouvez l’option dans Options > Masquer Microsoft Entrées et Options > Masquer les entrées Windows. Cette affiche plus de données, mais il est important de le voir, d’un point de vue sécurité.
- Activer la fonction “vérifier les signatures de code” et “vérifier virustotal.com” dans Options > Options d’Analyse.
- Examiner toute cmd.exe, pcalua, ou SyncAppvPublishingService entrées.
- Parcourir toutes les entrées et de regarder pour les commandes imbriquées (peut-être plus facile à utiliser les options de ligne de commande pour les énumérer tous, et utiliser les opérations de recherche pour parcourir la liste).
Maintenant, Vous: comment avez-vous énumérer les éléments autorun et de la formation professionnelle? (via Deskmodder, Technet)