Diagnosi del sistema con Autoruns
Il sistema Windows ad ogni avvio carica una moltitudine di processi(.exe), librerie (.dll)e altre impostazioni. Tutto ciņ,rimane perennemente attivo in memoria senza che l'utente ne abbia il minimo avvertimento ad eccezione fatta per le applicazioni che si vedono nella systemtray (vicino all'orologio). Questo oltre che a comportare un notevole utilizzo di ram e a rallentare notevolmente i tempi di avvio del sistema, comporta anche il pericolo malware, che avendo l'obiettivo di avviarsi automaticamente all'accensione del PC, si annidano nei punti di avvio in modo da caricarsi in memoria e svolgere funzioni dannose senza il consenso da parte dell'utente.
Per analizzare e listare tutto cio, ecco che arriva in nostro aiuto l'ottimo Autoruns, un programmino standalone (non necessita installazione) che in qualche attimo ci fornisce:
- Le chiavi di registro
- Descrizione del programma
- Nome dell'editore (se presente)
- La collocazione del programma nel sistema
Autoruns lista:
- Le entrate del registro relative a Explorer
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
- Le entrate del registro relative a Internet Explorer
HKLM\Software\Microsoft\Internet Explorer\Toolbar HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
- I servizi
HKLM\System\CurrentControlSet\Services
- I driver
HKLM\System\CurrentControlSet\Services
- Le operazioni Pianificate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler Task Scheduler
- Le entrate AppInit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
- Le entrate KnownDlls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
- I punti caricati dal Winlogon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|UserInit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|System etc.
- Le entrate del Winsock
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\*\Catalog_Entries
- La lista LSA Providers HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages etc.
- Chiavi e cartelle di avvio automatico
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
C:\Documents and Settings\Users\Menu Avvio\Programmi\Esecuzione automatica
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Alcune opzioni di Autoruns;
- "File / Export" Per generare il log dettagliato dell'analisi
- "File / Save" salva le informazioni per poterle poi comparare in seguito e analizzare i cambiamenti avvenuti nel sistema.
- Doppio click su una voce apre direttamente il collegamento di quest'ultima
- Tasto destro su una chiave per eliminarla
- Togliendo la spunta si disattiva la chiave in questione
- F5 per fare un refresh della lista
Come potete notare, nella parte superiore di Autoruns ci sono diversi tab di navigazione,come vedrete sono molto intuitivi, ma facciamo qualche esempio.
- Everything; lista tutte le entrate
- Logon: Lista tutte le entrate del Winlogon
- Explorer: Lista le entrate Handles e le Hook (per avere una visione piu semplice,tramite "Options / Hide Signed Microsoft Entries" si possono nascondere le entrate appartenenti a microsoft.
- Internet Explorer: Lista tutte le entrate relative ad IE
Pagina ufficiale del programma | Autoruns
Come rimuovere il Master Boot Record Rootkit