تجنب Autoruns ، أو: لا تعتمد فقط على Autoruns للأمان

• فئة: شبابيك

جرب أداة القضاء على المشاكل

حدد نظام التشغيل Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro اختر برنامج الإسقاط (اختياريا) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

صف مشكلتك

إحصل على جواب

أرسل لي عبر البريد الإلكتروني عرض على الموقع

يعد Autoruns برنامجًا شائعًا لنظام Windows لتحليل جميع الملفات والبرامج والعناصر الأخرى المختلفة التي يتم تشغيلها عند بدء تشغيل النظام.

ربما تكون الأداة الأكثر استخدامًا لهذا الغرض ، وتتضمن الكثير من الميزات الرائعة مثل مسح الملفات على Virustotal ، أو إخفاء إدخالات Microsoft ، أو إدارة ملفات التشغيل التلقائي لتعطيل العناصر أو حذفها مباشرة من داخل البرنامج.

التهرب من Autoruns هي ورقة بحثية كتبها كايل هانسلوفان وكريس بيسنيت من Huntress والتي تكشف عن طرق تهرب متعددة يمكن أن يستخدمها المستخدمون المؤذون لإخفاء الأنشطة على الكمبيوتر أو في الشبكة.

كشف الباحثون عن طرق متعددة قد يستخدمها المهاجمون لإخفاء نشاطهم. يمكن استخدام الأوامر المتداخلة على سبيل المثال لتنفيذ برامج متعددة باستخدام عنصر بدء تشغيل واحد. هذه الأوامر ، على سبيل المثال &&، & أو || الجمع بين أمر واحد أو عدة أوامر ، عادة عن طريق إضافة أمر ضار بعد أمر شرعي.

إحدى المشكلات التي تظهر في Autoruns هي أن العديد من المستخدمين قد قاموا بتكوين البرنامج لإخفاء إدخالات Microsoft حيث يعتبرهم الكثيرون حفظًا. المشكلة هي أن إخفاء إدخالات Microsoft قد يخفي بنيات الأوامر هذه.

التقنيات الأخرى التي يصفها الباحثون الأمنيون هي:

• اتجاه Shell32.dll
• اختطاف DLL
• SyncAppvPublishingService
• خدمة DLL علة
• خطأ في طلب البحث عن الامتداد
• اختطاف SIP
• .INF مخطوطات

توصل الباحثون إلى استنتاج مفاده أن Autoruns هي أداة رائعة لتعداد برامج وملفات بدء التشغيل ، لكنها ليست أداة أمنية.

يقترحون أن يستخدمها المسؤولون والمستخدمون لتعداد البيانات ، وأن يقوموا بتحليل البيانات التي جمعتها الأداة باستخدام وسائل أخرى. سيستخدم المهاجمون هذه التقنيات وأكثرها تعقيدًا لتجنب الاكتشاف في Autoruns.

بقدر ما يتعلق الأمر بالأشياء التي قد تفعلها لتجعل من الصعب على المهاجمين إخفاء شيء ما ، فإن ما يلي مفيد:

1. لا تخفي إدخالات Microsoft و Windows في Autoruns. يمكنك العثور على الخيار ضمن خيارات> إخفاء إدخالات وخيارات Microsoft> إخفاء إدخالات Windows. يعرض هذا مزيدًا من البيانات ، ولكن من المهم رؤيتها من وجهة نظر الأمان.
2. قم بتمكين خيارات 'التحقق من توقيعات الرمز' و 'تحقق من virustotal.com' في الخيارات> خيارات المسح.
3. قم بمراجعة أية إدخالات cmd.exe أو pcalua أو SyncAppvPublishingService.
4. انتقل إلى جميع الإدخالات وابحث عن الأوامر المتداخلة (قد يكون من الأسهل استخدام خيارات سطر الأوامر لتعداد الكل واستخدام عمليات البحث لتصفح القائمة).

الآن أنت : كيف يمكنك تعداد عناصر التشغيل التلقائي وفحصها؟ (عبر ديكمودر ، تكنيت )