你的電腦每次開機,都在幫你執行你不知道的程式

大多數 Windows 使用者對開機的認知,是按下電源鍵,等桌面出現,然後開始工作。但在這段等待的時間裡,Windows 其實正在依序執行一份清單,上面列著所有被設定為自動啟動的程式、服務、驅動程式與系統元件。 這份清單比你想像中複雜得多。它分散在 Windows 登錄檔的多個位置、系統資料夾的不同層級,以及排程工作的設定檔案裡。正常的軟體安裝後會把自己加進去,惡意程式也會這樣做,而且往往選擇最不容易被一般人發現的位置。 Autoruns 做的事情,就是把這整份清單攤開來,讓你第一次完整看到自己的電腦在開機時到底執行了什麼。

為什麼工作管理員和一般防毒軟體不夠用

Windows 內建的工作管理員有一個啟動索引標籤,可以顯示部分自動啟動的程式,但這只是冰山一角。真正完整的自動啟動位置,分布在系統的數十個不同區域,工作管理員顯示的只是最表面的那一層。 惡意程式的作者非常清楚這一點。他們選擇把程式碼注入到驅動程式、瀏覽器擴充功能、排程工作,或是偽裝成系統服務的名稱,這些位置都不會出現在工作管理員的啟動清單裡。防毒軟體能偵測到已知的惡意程式特徵,但對於針對性攻擊或較新型的惡意程式,特徵資料庫不一定能即時跟上。 Autoruns 提供的是另一個角度,它不依賴特徵比對,而是讓你直接看到所有自動啟動的項目,再由你或專業人員判斷哪些是正常的,哪些不應該存在。

Autoruns 能揭露哪些隱藏位置

這個工具監控的啟動位置,遠超過大多數人的想像,包括:

  • Windows 登錄檔中的多個 Run 和 RunOnce 機碼,這是最常見的自動啟動位置
  • 開始功能表的啟動資料夾,包含使用者層級與系統層級兩種
  • Windows 排程工作,可以設定在特定時間或特定事件觸發時執行程式
  • 瀏覽器擴充功能與輔助程式,涵蓋 Chrome、Firefox、Edge 與 Internet Explorer
  • 系統服務與驅動程式,這層最接近作業系統核心,也是最難察覺的位置
  • DLL 注入點,允許程式碼被載入到其他正常程序的執行空間中
  • Winlogon 與 LSA 相關項目,在使用者登入流程中觸發

光是這份清單,就足以說明為什麼僅靠工作管理員根本看不到全貌。

Windows 開機啟動位置層級與惡意程式藏匿位置說明資訊圖。

資安人員在哪些情境下會用到 Autoruns

在實際的資安工作中,Autoruns 出現的頻率相當高。當一台裝置疑似遭到惡意程式感染,資安人員打開 Autoruns 通常是最早的幾個動作之一。它能快速顯示出哪些項目沒有經過數位簽章驗證、哪些項目的檔案路徑位置異常,或是哪些項目使用了刻意模仿系統程式名稱的偽裝手法。 Autoruns 本身還提供了一個很實用的功能,就是可以把每個自動啟動項目提交到 VirusTotal 進行掃描,直接在工具介面內就能看到該項目的威脅評估結果,大幅縮短了手動逐一確認的時間。 對於普通使用者來說,Autoruns 最直接的用途是在電腦出現不明變慢、異常網路流量,或防毒軟體發出警告後,作為第一個確認開機環境是否乾淨的工具。如果在使用過程中發現了無法判斷的可疑項目,VexelOps 可以協助分析這些項目的風險性,並提供後續的處理建議。

Autoruns 常見問題

Autoruns 顯示的項目那麼多,我怎麼知道哪些是正常的?

Autoruns 提供了幾個方便的篩選功能。其中最實用的是隱藏已驗證的 Microsoft 簽章項目,這個選項可以大幅減少畫面上的項目數量,讓你把注意力集中在沒有數位簽章或簽章無法驗證的項目上。此外,任何顯示為紅色或黃色背景的項目,代表該程式檔案找不到或已被刪除,但登錄檔中的記錄仍然存在,這通常值得進一步確認。

使用 Autoruns 停用某個項目後,電腦會有問題嗎?

Autoruns 停用項目的方式是取消核取方塊,而不是直接刪除,所以這個操作是可以還原的。停用某個啟動項目後,重新啟動電腦,觀察電腦的運作是否有任何異常,如果沒有問題,代表那個項目對你的日常使用並不是必要的。在對不確定的項目進行任何操作之前,建議先搜尋該項目的名稱,了解它的功能與來源,再決定是否停用。

Autoruns 和 Process Monitor 應該怎麼搭配使用?

兩者的切入角度不同但互補。Autoruns 幫你看清楚系統在開機時設定了哪些自動執行的項目,是靜態的清單分析。Process Monitor 則是在系統運行時即時記錄程式的行為,是動態的行為追蹤。在調查可疑程式時,常見的做法是先用 Autoruns 找到可疑的啟動項目,再用 Process Monitor 觀察那個程式在執行時實際做了什麼,兩個工具搭配能提供更完整的分析視角。 One Key Takeaway: Autoruns 揭露的不只是哪些程式在開機時啟動,更是讓你第一次真正看清楚自己的電腦啟動環境,而這個清單,正是攻擊者最喜歡藏東西的地方。