Process Explorer 第四章 · Autoruns 基础知识——通俗易懂

🔎 Autoruns 基础知识（第四章精读笔记）

这篇是《Windows Sysinternals》里 第4章 Autoruns 的通俗版精读与实战指南。目标：
看完就能用 Autoruns 快速、干净地找出并处理系统中的“自动启动”项目（ASEP），避免卡慢、顽固弹窗、恶意驻留。

1. 为什么用 Autoruns？

Windows 是“高度可扩展”的平台：驱动、服务、登录启动、外壳扩展、IE/Edge/浏览器扩展、计划任务……程序可以在你不点它的情况下自动运行。
这类入口统称 Autostart Extensibility Points（ASEPs），官方正当用途很多，但：

• OEM 预装臃肿、托盘常驻、偷偷自启 → 耗资源
• 恶意/广告/灰产常驻 → 用 ASEP 固化存活
• 系统工具（msconfig、任务管理器启动项） → 覆盖不全、信息粗糙

Autoruns 的定位：在几秒内扫描几乎所有 ASEP，一屏看全，支持签名校验、VirusTotal 分析、禁用/删除、筛选隐藏，可本地/脱机/跨用户分析，还提供命令行版 AutorunsC 方便做基线与巡检。

2. 认识主界面（Everything 页）

打开 Autoruns（建议“以管理员运行”），默认在 Everything 选项卡：

• 灰色阴影行：某个 ASEP 的“位置”（注册表/目录/计划任务等）

• 其下白色行：该位置下的具体启动项

• 关键列：

  • Image Path：目标文件完整路径（对 cmd/wscript/rundll32/svchost 等承载进程，会解析并显示真正的目标 DLL/脚本）
  • Timestamp：PE 的链接时间；非 PE（如脚本）显示文件系统“最后写入时间”
  • Description / Publisher：来自文件版本资源；若启用签名验证且成功，会在 Publisher 显示 (Verified) 颁发者
  • VirusTotal：提交哈希并显示聚合引擎结果（可点开网页详查）

颜色提示

• 黄色：File not found（启动项指向的目标文件不存在）
• 粉红色：可疑（无描述/无签名/签名校验失败/你启用了校验后判定可疑）

常用快捷键

• F5 刷新 | Esc 取消扫描 | Ctrl+F 搜索（F3 查找下一个）
• 勾/去勾复选框 = 启用/禁用该启动项
• Del = 删除启动项（不可撤销！）

3. “禁用”和“删除”的区别（超重要）

• 禁用：安全可逆

  • 注册表型 ASEP：会把原值移到 AutorunsDisabled 子键
  • 目录型 ASEP（开始菜单“启动”）：会把项移到隐藏目录 AutorunsDisabled
  • 你重新勾选即可恢复

• 删除：永久移除（无撤销）。一般只在你确认永不再需要时使用

⚠️ 强警告：不要随意禁用/删除系统关键驱动/服务/核心外壳扩展。错误操作可能导致系统故障，甚至无法启动。

4. 管理员权限与提权

• 仅查看当前用户的大多项不需要管理员
• 修改系统级位置（HKLM/所有用户启动）、查看部分服务/计划任务 → 需要管理员
• 若因权限失败，界面会给出 Run as Administrator（以管理员运行）按钮，可一键提升
• 命令行参数 -e 可尝试直接以提升方式启动

5. 提升“识别率”的两把斧

5.1 验证代码签名（Verify Code Signatures）

• 位置：Options > Scan Options > Verify Code Signatures
• 作用：在扫描同时验证目标文件签名与证书链（需要联网验证撤销状态，会更慢但更可靠）
• 配合“隐藏选项”（见下）效果更佳

5.2 VirusTotal 分析

• 默认提交文件哈希；若无记录显示 Unknown
• 勾选 Submit Unknown Images 可 自动上传完整文件 扫描（慢，但结果更权威）
• 列显示类似 2/73，数字越大越可疑，链接为详情页
• 首次使用会弹出协议页，需同意

✅ 实务建议：签名验证 + 隐藏微软/Windows项 + 隐藏 VirusTotal 纯净项 → 屏幕上只剩真正需要你关注的“少数派”。

6. “隐藏与筛选”让噪声消失

• Hide Microsoft Entries：隐藏所有已验证为微软签名的项（会自动包含 Hide Windows Entries）
• Hide Windows Entries：仅隐藏已验证为“Microsoft Windows”代码签名的 Windows 组件
• Hide VirusTotal Clean Entries：隐藏 VT 全绿 的项
• Hide Empty Locations（默认开启）：隐藏没有内容的 ASEP 位置
• Filter 文本框（工具栏右上角）：输入关键字即时过滤（案例：输入 onedrive 只看 OneDrive 相关）

ℹ️ 注意：是否启用了 Verify Code Signatures 会直接影响“隐藏微软/Windows”逻辑的准确性。

7. 深挖一个项：右键菜单五连

• Jump To Entry：打开注册表/计划任务/目录的真实位置（Regedit/任务计划程序/资源管理器）
• Jump To Image：打开目标文件所在位置并选中
• Process Explorer：若目标 EXE 正在运行且 Procexp 与 Autoruns 同目录或已运行，直接打开该进程属性
• Search Online：用默认搜索引擎查询文件名
• Properties：Windows 文件属性对话框（看数字签名/详细版本等）

8. 多用户与“脱机系统”分析

8.1 切换用户视角

• User 菜单选择本机其它已登录账户（需管理员），查看其 HKCU / 用户启动目录 等
• 勾选 Show only per-user locations：只看“每用户”的 ASEP，适合标准用户被感染的清理

8.2 分析脱机系统（超实用）

• File > Analyze Offline System：指定另一个 Windows 实例的系统目录与用户配置文件目录
• 适用：系统无法启动、Rootkit 污染本机视图、签名信任链被篡改 等高级场景

9. “列项速查表”（收藏级）

10. 快速实战剧本（Playbook）

场景A：电脑突然卡/开机拖慢/托盘暴增

1. 管理员启动 Autoruns
2. 勾选：Verify Code Signatures、Hide Microsoft Entries、Hide VirusTotal Clean Entries
3. 查看剩余项：优先处理粉红/Unknown/高VT命中
4. 先 禁用（可逆），重启验证
5. 稳定后按需 删除，并清理目标文件/目录

场景B：顽固弹窗 & 可疑浏览器扩展

1. 切到与浏览器相关的选项卡（如 IE/Edge 扩展、Shell 扩展、Scheduled Tasks）
2. 用 Filter 搜关键词（产品名/公司名/异常字样）
3. Jump To Entry / Image 检查落地位置，禁用 → 观察
4. 配合 VirusTotal 与 在线搜索 判断

场景C：看到大量 File not found（黄色）

• 多为“残留启动项”或被安全软件清走了主体
• 建议删除（谨慎确认路径/来源后）

11. 进阶：基线对比 & 命令行（AutorunsC）

• 做基线：第一次部署/重装后，用 Autoruns/AutorunsC 导出一份“干净状态”清单
• 日常巡检：定期导出与基线对比，秒找新增/改动的启动项
• AutorunsC 可配合脚本/任务计划，适合企业化落地

书里还提到很多团队把 Autoruns 纳入变更管理：更新桌面镜像 → 同步建立新基线。

12. 安全提示与最佳实践

• 先禁用，后删除：逐步收紧、可回滚
• 不要迷信“Publisher 文本”，签名验证才关键
• VirusTotal 不是判决书：个别引擎的“红”可能是误报 → 结合签名、路径、时间戳、行为判断
• 小心系统关键项（驱动/服务/LSA/网络提供程序/Winlogon 扩展等）
• 做到 一项一变更、一变更一记录，故障可追溯

13. 一页速记（上手清单）

1. 管理员启动 → Options > Scan Options 勾上 Verify Code Signatures
2. 勾 Hide Microsoft Entries + Hide VirusTotal Clean Entries
3. F5 重新扫描
4. 关注：粉红、Unknown、VT 高命中、异常时间戳
5. 右键 Jump To Entry/Image 定位 + Search Online/VirusTotal 佐证
6. 禁用 → 重启观察；确认无影响后删除 + 清理文件
7. 导出/保存报告，更新基线（可用 AutorunsC）

结语

相比任务管理器与 msconfig，Autoruns 才是“看全、看准、能落地”的自动启动管理利器。
把“签名验证 + VT 分析 + 隐藏噪声 + 禁用优先”的方法用起来，你会发现：解决卡慢、弹窗、可疑驻留，其实可以既稳又快。