الصفحة الرئيسية » مدرسة » استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة

    استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة

    معظم المهووسين لديهم الأداة التي يختارونها للتعامل مع العمليات التي تبدأ تلقائيًا ، سواء كانت MS Config أو CCleaner أو حتى Task Manager في Windows 8 - لكن أيا منها ليس قويًا مثل Autoruns ، وهو أيضًا درسنا في Geek School اليوم.

    ملاحة المدرسة
    1. ما هي أدوات SysInternals وكيف يمكنك استخدامها?
    2. فهم عملية إكسبلورر
    3. باستخدام عملية اكسبلورر لاستكشاف وتشخيص
    4. فهم عملية المراقبة
    5. باستخدام عملية مراقبة لاستكشاف واكتشاف هاك التسجيل
    6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
    7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
    8. باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
    9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
    10. التفاف واستخدام الأدوات معا

    في الأيام القديمة ، يبدأ البرنامج نفسه تلقائيًا عن طريق إضافة إدخال إلى مجلد بدء التشغيل في قائمة "ابدأ" ، أو إضافة قيمة إلى مفتاح التشغيل في السجل ، ولكن عندما يصبح الأشخاص والبرامج أكثر إدراكًا في البحث عن الإدخالات غير المرغوب فيها وحذفها ، بدأ صانعو البرمجيات المشكوك فيها بإيجاد طرق للحصول على المزيد والمزيد من التلاعب.

    بدأت هذه الشركات المشفرة بحثًا عن كيفية تحميل برامجها تلقائيًا من خلال كائنات مساعد المستعرض ، والخدمات ، وبرامج التشغيل ، والمهام المجدولة ، وحتى من خلال بعض التقنيات المتقدمة للغاية مثل عمليات إخفاء الصور و AppInit_dlls.

    التحقق من كل من هذه الشروط يدويا لن يكون مضيعة للوقت فحسب ، بل يكاد يكون من المستحيل القيام به للشخص العادي.

    هذا هو المكان الذي يدخل فيه Autoruns ويوفر اليوم. بالتأكيد ، يمكنك استخدام Process Explorer للبحث في قائمة العمليات والتعمق في المواضيع والمقابض ، ويمكن لمراقب العمليات معرفة مفاتيح التسجيل التي يتم فتحها بالضبط من خلال أي عملية وإظهار كميات هائلة من المعلومات. ولكن لا أحد يوقف تحميل البرامج الضارة أو البرامج الضارة مرة أخرى في المرة التالية التي تقوم فيها بتشغيل جهاز الكمبيوتر الخاص بك.

    بالطبع ، ستكون الإستراتيجية الذكية هي استخدام الثلاثة معاً. يرى Process Explorer ما يتم تشغيله حاليًا واستخدام وحدة المعالجة المركزية والذاكرة ، يرى Process Monitor ما يقوم به التطبيق تحت الغطاء ، ومن ثم يأتي Autoruns لتنظيف الأشياء حتى لا يعودوا.

    يتيح لك Autoruns رؤية كل شيء تقريبًا يتم تحميله تلقائيًا على جهاز الكمبيوتر الخاص بك ، وتعطيله بسهولة مثل النقر فوق خانة اختيار. إنها سهلة الاستخدام بشكل لا يصدق ، وتكاد تكون بديهية ، باستثناء بعض الأشياء المعقدة التي تحتاج إلى معرفتها لفهم ما تعنيه بعض علامات التبويب بالفعل. هذا ما سيعلمه هذا الدرس.

    العمل مع اوتورونس اجهة

    يمكنك الحصول على أداة Autoruns من موقع SysInternals على الويب تمامًا مثل بقية البرامج وتشغيلها بدون تثبيت. عليك أن تفعل ذلك قبل المتابعة.

    ملحوظة: لا يتطلب التشغيل التلقائي التشغيل كمسؤول ، ولكن من الناحية الواقعية ، من المنطقي أن تفعل ذلك فقط ، نظرًا لأن هناك بعض الميزات التي لا تعمل بشكل جيد ، وهناك فرصة جيدة لتشغيل البرامج الضارة كمسؤول أيضًا.

    عند تشغيل الواجهة لأول مرة ، سترى الكثير من علامات التبويب وقائمة بالأشياء التي يتم تشغيلها تلقائيًا على جهاز الكمبيوتر. تعرض علامة التبويب "الكل" الافتراضية كل شيء من كل علامة تبويب ، ولكنها قد تكون مربكة وطويلة بعض الشيء ، لذلك ننصح بالانتقال إلى كل علامة تبويب على حدة.

    تجدر الإشارة إلى أنه بشكل افتراضي ، يقوم Autoruns بإخفاء كل شيء مضمن في Windows وتعيينه ليبدأ تلقائيًا. يمكنك تمكين عرض تلك العناصر في الخيارات ، ولكن لا نوصي بها.

    تعطيل العناصر

    لتعطيل أي عنصر في القائمة ، يمكنك فقط إزالة خانة الاختيار. هذا كل ما عليك القيام به ، فقط اذهب إلى القائمة وقم بإزالة كل شيء لا تحتاج إليه ، أعد تشغيل الكمبيوتر ، ثم أعد تشغيله مرة أخرى للتأكد من أن كل شيء جيد.

    ملحوظة: ستراقب بعض البرامج الضارة باستمرار المواقع التي يتم تشغيلها تلقائيًا ، وستعيد القيمة على الفور. يمكنك استخدام المفتاح F5 لإعادة الفحص ومعرفة ما إذا كان أي من الإدخالات قد عاد بعد تعطيلها. إذا ظهر أحدهم مرة أخرى ، فعليك استخدام Process Explorer لتعليق أو قتل تلك البرامج الضارة قبل تعطيلها هنا.

    الألوان

    مثل معظم أدوات SysInternals ، يمكن أن تكون العناصر في القائمة ألوان مختلفة ، وهنا ما تعني:

    • زهري - هذا يعني أنه لم يتم العثور على معلومات الناشر ، أو في حالة تشغيل التحقق من التعليمات البرمجية ، فهذا يعني أن التوقيع الرقمي غير موجود أو لا يتطابق ، أو لا توجد معلومات للناشر.
    • أخضر - يستخدم هذا اللون عند مقارنته بمجموعة سابقة من بيانات Autoruns للإشارة إلى عنصر لم يكن موجودًا في المرة السابقة.
    • الأصفر - إدخال بدء التشغيل موجود ، لكن الملف أو الوظيفة يشير إلى أنه لم يعد موجودًا.

    أيضاً مثل معظم أدوات SysInternals ، يمكنك النقر بزر الماوس الأيمن فوق أي إدخال وتنفيذ عدد من الإجراءات ، بما في ذلك الانتقال إلى الإدخال أو الصورة (الملف الفعلي في Explorer). يمكنك البحث عبر الإنترنت عن اسم العملية أو البيانات الموجودة في العمود ، أو الاطلاع على الخصائص التفصيلية ، أو معرفة ما إذا كان هذا الإدخال قيد التشغيل من خلال إجراء بحث سريع من خلال Process Explorer - على الرغم من أن العديد من العمليات تحتوي على محمل يقوم بعد ذلك بتشغيل شيء آخر قبل الخروج ، وذلك لأن هذه الميزة تظهر أي نتائج لا يعني أي شيء.

    إذا قمت بالنقر فوق Jump to Entry ، فسيتم نقلك مباشرةً إلى محرر التسجيل ، حيث يمكنك رؤية مفتاح التسجيل الخاص هذا وإلقاء نظرة حولك. إذا كان الإدخال شيئًا آخر ، فقد يتم نقلك إلى أداة أخرى ، مثل جدولة المهام. والحقيقة هي أن Autoruns تعرض معظم الوقت نفس المعلومات في الواجهة ، لذلك لا تحتاج عادةً إلى إزعاج ما لم تكن ترغب في معرفة المزيد.

    تسمح لك قائمة المستخدم بتحليل حساب مستخدم مختلف ، والذي قد يكون مفيدًا إذا قمت بتحميل Autoruns على حساب مختلف على نفس الكمبيوتر. تجدر الإشارة إلى أنه من الواضح أنك ستحتاج إلى تشغيل كمسؤول للاطلاع على حسابات المستخدمين الآخرين على جهاز الكمبيوتر.

    التحقق من التوقيعات البرمجية

    ينقلك عنصر قائمة خيارات التصفية إلى لوحة الخيارات حيث يمكنك تحديد خيار واحد مفيد للغاية: التحقق من التواقيع البرمجية. سيتحقق ذلك للتأكد من أن كل توقيع رقمي يتم تحليله والتحقق منه ، وعرض النتائج مباشرة في النافذة. ستلاحظ أنه لم يتم التحقق من جميع العناصر الموجودة باللون الوردي في لقطة الشاشة أدناه أو أن معلومات الناشر غير موجودة.

    وللحصول على رصيد إضافي ، قد تلاحظ أن لقطة الشاشة هذه هي نفسها تقريبًا مثل لقطة البداية ، باستثناء في بعض العناصر في القائمة التي لم يتم وضع علامة عليها باللون الوردي. الفرق هو أنه افتراضياً بدون تشغيل خيار التحقق من التواقيع ، فإن Autoruns سوف ينبهك فقط مع الصف الوردي في حالة عدم وجود معلومات للناشر.

    تحليل نظام غير متصل (كما هو الحال في تثبيت محرك أقراص ثابتة على جهاز كمبيوتر آخر)

    تخيل أن جهاز الكمبيوتر الخاص بصديقك قد أفسد تمامًا وأنه لن يتم التمهيد أو أن يتم التمهيد ببطء شديد بحيث لا يمكنك استخدامه حقًا. لقد جربت خيارات الوضع الآمن والاسترداد مثل System Restore (استعادة النظام) ، ولكن ذلك لا يهم لأنه غير قابل للاستخدام.

    فبدلاً من سحب بطاقة "إعادة التثبيت" ، والتي تكون في الغالب مجرد بطاقة "أنا أتخلى" ، يمكنك سحب القرص الصلب وتوصيله بجهاز الكمبيوتر أو الكمبيوتر المحمول باستخدام قاعدة توصيل محرك الأقراص الصلبة USB. لديك واحد ، أليس كذلك؟ ثم تقوم فقط بتحميل Autoruns والانتقال إلى File -> Analyze Offline System.

    استعرض للعثور على دليل Windows على محرك الأقراص الثابت الآخر ، وملف تعريف المستخدم للمستخدم الذي تحاول تشخيصه ، وانقر فوق OK لبدء.

    ستحتاج إلى وصول للكتابة إلى محرك الأقراص ، بالطبع ، لأنك ستحتاج إلى حفظ الإعدادات لإزالة أي هراء ينتهي بك الأمر.

    مقارنة ضد جهاز كمبيوتر آخر (أو تثبيت نظيف سابق)

    يبدو الخيار File -> Compare لا يوصف ، ولكنه يمكن أن يكون أحد أكثر الطرق فعالية لتحليل جهاز الكمبيوتر ورؤية ما تمت إضافته منذ آخر مرة تم فيها المسح الضوئي ، أو للمقارنة مع جهاز كمبيوتر نظيف معروف.

    لاستخدام هذه الميزة ، ما عليك سوى تحميل Autoruns على الكمبيوتر الذي تحاول فحصه ، أو استخدام الوضع Offline الذي وصفناه سابقًا ، ثم التوجه إلى File -> Compare. كل ما تمت إضافته منذ إصدار الملف المقارن سوف يظهر باللون الأخضر الفاتح. إنها بهذه السهولة. لحفظ نسخة جديدة ، يمكنك استخدام الخيار File -> Save.

    إذا كنت تريد حقًا أن تكون محترفًا ، يمكنك حفظ تهيئة نظيفة من تثبيت جديد لـ Windows ووضعها على محرك أقراص محمول لتتخذه معك. قم بحفظ نسخة جديدة في كل مرة تلمس فيها جهاز الكمبيوتر لأول مرة للتأكد من أنه يمكنك التعرف بسرعة على كافة البرامج الجديدة التي أضافها المالك.

    النظر في علامات التبويب

    كما شاهدت حتى الآن ، Autoruns هي أداة بسيطة للغاية ولكنها قوية يمكن استخدامها على الأرجح من قبل أي شخص. أعني ، كل ما عليك فعله هو إلغاء تحديد مربع ، صحيح؟ ومع ذلك ، من المفيد الحصول على مزيد من المعلومات حول ما تعنيه كل علامات التبويب هذه ، لذلك سنحاول أن نعلمك هنا.

    الصفحة التالية: تسجيل الدخول والمهام المجدولة واختطاف الصور