Autoruns怎么用?Autoruns的所有功能详细图文教程

三、特色功能

　　（一）比起注册表编辑器庞大的数据库来说，AUTORUNS显得更加专业--只管理开机自启动项，别的不管，使用起来更简便和有针对性。这也是AUTORUNS软件的最大特色。

　　（二）利用“文件”--“比较”功能，可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项，使检验添加自启动项的正常与否变得更加方便。

　　（三）“验证代码签名”、“隐藏微软项目”这两个功能，使得判断某个自启动子项和自启动值项是否是恶意软件更加简单，否则项目太多（一般有200多个），会看着发晕的。

　　（四）用“跳转到”菜单项目建立了与注册表之间的快速切换，特别适合用来调用注册表编辑器来编辑一些被恶意软件强行插入病毒模块字段的注册表值项值。

　　（五） “属性”菜单项目可以直接在自启动项目上用右键调出，也可以在选择该项目后用“项目”--“属性”调出，直接定位并显示自启动项指向映像文件的“属性”，由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件（自启动项）是否正常，应该是很方便也很有特色的一个功能！

　　四、实战案例

　　案例一、删除有问题的驱动保护

　　如通过SRENG扫描日志发现有个不明驱动项目USBVM31B.SYS在机中活动！（这里仅仅是在举例，实际上这个服务项目是摄像头驱动，而且为了说明问题我对该映像文件的“属性”做了修改，实际该文件并非病毒驱动文件，不可照搬使用哦！）

　　怎么办？按照下列步骤，你会发现，原来查杀病毒驱动保护也不复杂：

　　1、双击autoruns.exe，进入AUTORUNS窗口， 

图12 

　　2、选项--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目； 

图13

　　3、“文件”--“查找”--输入“USBVM31B.SYS”--回车，让AUTORUNS自动查找包括“USBVM31B.SYS”字段的自启动值项并定位； 

图14 

图15

　　如上图，发现USBVM31B.SYS这个DD有驱动保护，且驱动保护项目为ZSMC301B