Vyhýbejte se autorunům, nebo: nespoléhejte se pouze na autoruny kvůli bezpečnosti

• Kategorie: Okna

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Autoruns je populární program pro Windows, který analyzuje všechny různé soubory, programy a další položky, které běží při spuštění systému.

Je to pravděpodobně nejpoužívanější nástroj pro tento účel a zahrnuje spoustu pěkných funkcí, jako jsou skenování souborů ve Virustotalu, skrývání záznamů Microsoft nebo správa autorunových souborů k deaktivaci nebo mazání položek přímo z programu.

Vyhýbání se autorunům je výzkumný článek Kyle Hanslovana a Chris Bisnetta z Huntress, který odhaluje různé způsoby vyhýbání, které by uživatelé se zlými úmysly mohli využít ke skrytí aktivit v počítači nebo v síti.

Vědci odhalili několik metod, které útočníci mohou použít ke skrytí své činnosti. Například vnořené příkazy lze použít k provádění více programů pomocí jediné spouštěcí položky. Tyto příkazy, např. &&, & nebo || kombinovat jeden nebo více příkazů, obvykle přidáním škodlivého příkazu po legitimním příkazu.

Jedním z problémů, které vyvstávají v Autoruns, je to, že mnoho uživatelů nakonfigurovalo program tak, aby skrýval položky Microsoftu, protože je mnohými považováno za uložené. Problém je v tom, že skrytí položek Microsoft může tyto konstrukty příkazů skrýt.

Další techniky, které bezpečnostní vědci popisují, jsou:

• Shell32.dll Indirection
• DLL únos
• SyncAppvPublishingService
• Chyba DLL služby
• Bug
• SIP únos
• .INF skripty

Vědci dospěli k závěru, že Autoruns je skvělý nástroj pro výčet spouštěcích programů a souborů, ale že to není bezpečnostní nástroj.

Navrhují, aby je správci a uživatelé použili k výčtu dat a aby analyzovali data shromážděná pomocí jiných prostředků. Útočníci budou používat tyto a složitější techniky, aby se vyhnuli detekci v Autoruns.

Pokud jde o věci, které můžete udělat pro to, aby útočníci mohli něco skrýt, je užitečné následující:

1. Skrýt položky Microsoft a Windows v Autoruns. Tuto možnost najdete v nabídce Možnosti> Skrýt položky a možnosti společnosti Microsoft> Skrýt položky systému Windows. Zobrazí se více dat, ale je důležité je vidět z hlediska zabezpečení.
2. Povolte možnosti „ověřit podpisy kódu“ a „zkontrolovat virustotal.com“ v nabídce Možnosti> Možnosti skenování.
3. Zkontrolujte všechny položky cmd.exe, pcalua nebo SyncAppvPublishingService.
4. Projděte všechny položky a hledejte vnořené příkazy (může být snazší použít možnosti příkazového řádku k výčtu všech a pomocí operací hledání procházet výpis).

Teď ty : jak vyjmenujete autorun položky a prověříte je? (přes Deskmodder , Technet )