|
|
|
Guida a Autoruns
|
a cura di Logan |
Le schede
Everything
Contiene tutte le chiavi presenti nelle altre categorie.
Logon
In questa scheda vengono mostrati gli oggetti che utilizzano le modalità di startup
standard, come la cartella Esecuzione automatica e le chiavi di registro RUN
(viste precedentemente).
Explorer
Qui vengono visualizzati gli oggetti relativi alla shell di Explorer che comprendono:
- le estensioni della shell (quelle che compaiono facendo clic destro su un oggetto)
- gli oggetti BHO (Browser Helper Objects)
- le toolbar
- eventuali setup in esecuzione
Internet Explorer
Questa sezione mostra gli oggetti BHO, le toolbar e le estensioni relative al browser
Internet Explorer. Spesso si trovano qui l'estensione dell'Acrobat Reader che permette
di visualizzare i file PDF direttamente all'interno browser o l'integrazione con la
Java di Sun.
Scheduled Task
Vengono visualizzati tutti i task che avete programmato tramite l'Utilità di
Pianificazione di Sistema.
Services
Fornisce la lista dei servizi che sono configurati per la partenza automatica con
Windows.
Drivers
In questa sezione sono elencati tutti I driver in kernel-mode registrati per l'avvio
con il sistema. Non vengono mostrati quelli disabilitati.
[ Per un chiarimento sul kernel-mode potete leggere il nostro l'articolo sui
Rootkit ]
Boot Execute
Vengono visualizzati gli elementi che sono eseguiti per primi durante la fase di boot
del sistema operativo (come ad esempio le utilità di controllo del disco).
Image Hijacks
Questa particolare tecnica di avvio consente di personalizzare le opzioni di
esecuzione dei programmi (spesso in kernel-mode). Viene usato ad esempio dai programmi
che testano la RAM per accedervi direttamente.
AppInit
Fornisce la lista delle DLL registrate con il sistema che vengono caricate con tutti
i processi.
KnowsDll
Spesso Windows carica all'avvio applicazioni che hanno delle estensioni o fanno
riferimento ad alcune DLL: queste librerie sono segnalate qui.
Winlogon
Mostra gli oggetti registrati per le notifiche all'avvio di Windows. Vi si trova
logonui.exe, responsabile dell'eventuale visualizzazione della schermata per
la scelta dell'utente per l'accesso a Windows.
Winsock providers
Visualizza gli oggetti registrati con il protocollo Winsock (necessario per l'accesso
ad internet). Spesso i malware si insediano qui perchè ci sono pochi strumenti in
grado di rilevare questa tecnica di avvio.
L'antivirus NOD32 registra qui alcune librerie che permettono il corretto
funzionamento del suo scanner HTTP integrato.
Print Monitor
Mostra le DLL che vengono caricate all'interno del servizio Spooler di stampa. Spesso
le applicazioni che installano stampanti virtuali avviano in questo modo le loro
estensioni (ad esempio i PDF creator).
LSA Providers
Visualizza i pacchetti sicuri, le notifiche e le autenticazioni LSA (Local Security
Authority) registrate nel sistema.
Facendo clic sulla voce Options nel menù del programma è possibile scegliere se
visualizzare anche le chiavi che non contengono alcun valore (Include Empty Locations),
verificare attraverso una connessione Internet l'autenticità degli oggetti (Verify
Code Signatures) e visualizzare o meno i processi di Microsoft (Hide Signed Microsoft
Entries).
Se volete verificare a quali chiavi si riferisce ogni singola scheda vi consiglio di
attivare l'opzione Include Empty Locations.
|
|
|
