Почему такой инструмент, как sysinternals Autoruns, может не знать местоположение автозагрузки?

Question 1

Вся причина существования Autoruns заключается в том, что нет просто одной функции "запуск при запуске" с несколькими возможными местами. Скорее, процесс запуска имеет несколько стадий ¹ , которые начинаютсяразные виды вещей, все по разным причинам, в своей собственной среде.

Например, драйверы — это файлы .sys, которые загружаются в ядро ОС; службы — это файлы .exe, которые запускаются особым образом; их списки должны управляться совершенно иначе, чем ярлыки приложений, которые вы помещаете в папку «Автозагрузка». (Не говоря уже о том, что у каждого пользователя есть своя собственная папка «Автозагрузка», тогда как для служб существует один глобальный список.)

В дополнение к этому, многие из мест, показанных в Autoruns, даже неимел в видудля запуска программ при запуске, а скорее списки модулей, используемых, казалось бы, не связанными между собой компонентами Windows, которые просто случайно также вызываются во время запуска.

Например, файл аудиокодека .dll не является тем, что можно считать местом «запуска при запуске» — если только Windows не указано воспроизводить звук при запуске и не требуется вызывать этот кодек.
Надстройка панели инструментов для веб-браузера MSIE не является местом «запуска при запуске», но в прошлом проводник Windows был буквально MSIE, поэтому надстройка также загружалась каждый раз, когда вы открывали локальную папку.

В результате существует множество методов запуска различных частей Windows.что-нибудьв разное время в процессе запуска, и нет единого метода, чтобы попросить Windows выдать список всех из них сразу. Autoruns просто пытается собрать множество списков, которые не имеют ничего общего друг с другом (за исключением того, что они каким-то образом указывают на какой-то файл, который может быть даже не обязательно файлом .exe).

По сути, Autoruns — этопоисковик вредоносных программбольше, чем просто менеджер стартапа.

К сожалению, хотя Autoruns сейчас и находится на сайте Microsoft, он все еще разрабатывается независимо от Windows. Если в Windows есть новое место или функция, которые можно использовать (или злоупотреблять) для запуска чего-либо при загрузке, Autoruns не узнает об этом автоматически.

¹ В качестве педантичного примечания к «нескольким этапам» следует отметить, что наиболее часто используемое расположение «shell:startup» даже не используется во время запуска Windows как такового, оно используется во времяЛогин пользователя– что может произойти даже через несколько часов или дней после завершения загрузки ОС.

Answer

Вся причина существования Autoruns заключается в том, что нет просто одной функции "запуск при запуске" с несколькими возможными местами. Скорее, процесс запуска имеет несколько стадий ¹ , которые начинаютсяразные виды вещей, все по разным причинам, в своей собственной среде.

Например, драйверы — это файлы .sys, которые загружаются в ядро ОС; службы — это файлы .exe, которые запускаются особым образом; их списки должны управляться совершенно иначе, чем ярлыки приложений, которые вы помещаете в папку «Автозагрузка». (Не говоря уже о том, что у каждого пользователя есть своя собственная папка «Автозагрузка», тогда как для служб существует один глобальный список.)

В дополнение к этому, многие из мест, показанных в Autoruns, даже неимел в видудля запуска программ при запуске, а скорее списки модулей, используемых, казалось бы, не связанными между собой компонентами Windows, которые просто случайно также вызываются во время запуска.

Например, файл аудиокодека .dll не является тем, что можно считать местом «запуска при запуске» — если только Windows не указано воспроизводить звук при запуске и не требуется вызывать этот кодек.
Надстройка панели инструментов для веб-браузера MSIE не является местом «запуска при запуске», но в прошлом проводник Windows был буквально MSIE, поэтому надстройка также загружалась каждый раз, когда вы открывали локальную папку.

В результате существует множество методов запуска различных частей Windows.что-нибудьв разное время в процессе запуска, и нет единого метода, чтобы попросить Windows выдать список всех из них сразу. Autoruns просто пытается собрать множество списков, которые не имеют ничего общего друг с другом (за исключением того, что они каким-то образом указывают на какой-то файл, который может быть даже не обязательно файлом .exe).

По сути, Autoruns — этопоисковик вредоносных программбольше, чем просто менеджер стартапа.

К сожалению, хотя Autoruns сейчас и находится на сайте Microsoft, он все еще разрабатывается независимо от Windows. Если в Windows есть новое место или функция, которые можно использовать (или злоупотреблять) для запуска чего-либо при загрузке, Autoruns не узнает об этом автоматически.

¹ В качестве педантичного примечания к «нескольким этапам» следует отметить, что наиболее часто используемое расположение «shell:startup» даже не используется во время запуска Windows как такового, оно используется во времяЛогин пользователя– что может произойти даже через несколько часов или дней после завершения загрузки ОС.

Question 2

Программа могла быть запущена другой программой. Или могла быть запущена из запланированной задачи. Она могла быть запущена dll, загруженной другой программой автозагрузки.

Autoruns может каталогизировать только "стандартные" места для запуска программы. Если программа затем запускается прокси-программой или каким-либо другим инструментом или системным действием, то Autoruns не будет иметь об этом ни малейшего представления.

По сути Autoruns знает только о тех местах, которыеОкнаиспользует для запуска программ. Если одна из этих программ устанавливает что-то, что запускает программу другим способом, то Autoruns не будет знать об этом.

Answer

Программа могла быть запущена другой программой. Или могла быть запущена из запланированной задачи. Она могла быть запущена dll, загруженной другой программой автозагрузки.

Autoruns может каталогизировать только "стандартные" места для запуска программы. Если программа затем запускается прокси-программой или каким-либо другим инструментом или системным действием, то Autoruns не будет иметь об этом ни малейшего представления.

По сути Autoruns знает только о тех местах, которыеОкнаиспользует для запуска программ. Если одна из этих программ устанавливает что-то, что запускает программу другим способом, то Autoruns не будет знать об этом.

Почему такой инструмент, как sysinternals Autoruns, может не знать местоположение автозагрузки?

решение1

решение2

Связанный контент