Autoruns è un popolare programma per Windows per analizzare tutti i diversi file, programmi e altri elementi che vengono eseguiti all’avvio del sistema.
È probabilmente lo strumento più utilizzato per questo scopo, e include un sacco di bella che abbiano caratteristiche come la scansione di file su Virustotal, nascondendo Microsoft non valide o la gestione di file di autorun per disattivare o eliminare gli elementi direttamente dall’interno del programma.
Eludendo Autoruns è un documento di ricerca da Kyle Hanslovan e Chris Bisnett da Cacciatrice che rivela più di evasione metodi che un utente malintenzionato potrebbe utilizzare per nascondere attività sul computer o in una rete.
I ricercatori rivelano più metodi che gli hacker possono utilizzare per nascondere le loro attività. Nidificato comandi, per esempio, può essere utilizzato per eseguire più programmi utilizzando un singolo elemento di avvio. Questi comandi, ad esempio,&&, & o || di combinare uno o più comandi, di solito con l’aggiunta di un dannoso comando dopo un legittimo comando.
Uno dei problemi che si pone in Autoruns è che molti utenti hanno configurato il programma per nascondere Microsoft non valide in quanto sono considerati salva da molti. Il problema è che nascondere la Microsoft voci possono nascondere queste comando costrutti.
Altre tecniche che i ricercatori di sicurezza descrivono sono:
- Shell32.dll Riferimento Indiretto
- DLL Hijacking
- SyncAppvPublishingService
- Servizio DLL Bug
- Estensione Ordine Di Ricerca Dei Bug
- SIP Dirottamento
- .INF Scriptlet
I ricercatori giunto alla conclusione che Autoruns è un grande strumento per il conteggio dei programmi di avvio e file, ma che non è uno strumento di sicurezza.
Essi suggeriscono che gli amministratori e gli utenti che lo utilizzano per enumerare i dati, che analizzano i dati lo strumento raccolte con altri mezzi. Gli aggressori si utilizzano queste tecniche e complesso, per eludere il rilevamento in Autoruns.
Leggi anche: Utilizzare Windows PowerShell per installare funzionalità opzionali
Per quanto le cose sono preoccupati che si può fare per rendere più difficile per gli hacker di nascondere qualcosa, il seguente è utile:
- Non nascondere la Microsoft e Windows voci in avvio automatico. Trovi l’opzione in Opzioni > Nascondi Microsoft Voci e Opzioni > Nascondi le voci di Windows. Visualizza ulteriori dati, ma è importante vedere da un punto di vista della sicurezza.
- Attivare il “verifica codice di firme” e “controllare virustotal.com” le opzioni in Opzioni > Opzioni di Scansione.
- Rivedere qualsiasi cmd.exe, pcalua, o SyncAppvPublishingService voci.
- Passare attraverso tutte le voci e cercare nidificati comandi (può essere più facile utilizzare le opzioni della riga di comando per enumerare tutti e utilizzare la funzione trova le operazioni di passare attraverso l’elenco).
Ora È: come si fa a enumerare autorun elementi, la formazione professionale? (via Deskmodder, Technet)