名称：AUTORUNS

PS:“AUTO”=“自动”；“RUN”=“运行”；因此，“AUTORUNS”=自启动项目组，想必大家已经明白其用途了--用于管理开机自启动项目组的一款软件。

首先看看这个软件包是什么DD：

图1 

如图2，我这个AUTORUNS忘记从哪里下载的，貌似只要 AUTORUNS.EXE就可以了，其他DD估计你用不上！帮助文件完全英文，谁要是有兴趣自己去翻译；其它…………个人认为都是鸡肋！这里双击软件包中的AUTORUNS.EXE这个文件，就可以进入该软件主程序的窗口：

图2 

AUTORUNS程序主界面如图3：

图3 

工欲善其事，必先利其器。由于软件首次使用时，默认字体是8号字，比较小，对于近视眼的同志来讲简直是折磨。按照下图步骤，在弹出的对话框中把字体调到10号字以上吧（可惜的是菜单和标签的中文字体大小不能更改，凑活用吧）：

图4 

图5

调整字体后，我们放眼睛望去，可以见到15个标签，列表下的内容全部是用类似注册表编辑器的方式显示的。 

图6

下面简单介绍一下各标签的含义：

“全部”--顾名思义，全部的开机自启动项都在这个标签下啦。另外，它也是双击autoruns.exe弹出窗口缺省定位的标签，包括其他标签的所有内容。

“登陆”- -细心的朋友可以发现，该标签下HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKCU\ Software\Microsoft\Windows\CurrentVersion\Run这两个注册表子项的内容与系统配置实用程序“启动”标签下打勾的项目是完全一样的，甚至“登陆”的图标也和系统配置实用程序MSCONFIG.EXE的图标完全相同，呵呵！当然，除了以上项目外，该标签还包括 HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell这三个自启动子项的内容，这些是用系统配置实用程序“启动”标签看不到的内容。

“资源管理器”：对应资源管理器在注册表上的子项和值项。

“英特网浏览器”：对应的是IE所有浏览器帮助对象（BHO）、网络URL地址搜索钩子、各类IE工具条以及IE常用工具栏按钮所对应的注册表子项和注册表值项值。

“计划任务”：和“开始”--“程序”--“附件”--“系统信息”--“任务计划”中的内容是完全一致的，一般为空。

“服务”：即HKLM\System\CurrentControlSet\Services对应的开机自启动服务的项目。由于具备开机自启动功能，而且依靠ROOTKIT技术可以隐蔽运行，所以是病毒（流氓软件）最爱光临的地方。

“驱动”：即HKLM\System\CurrentControlSet\Services对应的开机自启动驱动程序的项目。同上，又一个病毒经常光临的乐园。

“启动执行”：在系统登陆前启动的本地映像文件（即WINDOWS映像文件的对称）及自启动项的情况。形象地理解一下，就是貌似瑞星的系统登陆前扫描这样的自启动项。

“映像劫持”：在此标签下的内容对应的应用程序，开机后即被系统强制劫持而不能运行（就是我们经常说的IFEO，即系统自带的应用程序映像劫持功能）。

“APPINIT”：初始化动态链接库，其内容是开机时系统加载的必要的初始化动态链接库文件。除了卡巴斯基等少数软件需要通过添加DLL文件到此处实现从开机就接管系统底层的目的外，一般此项目应为空。

“KNOWNDLLS”：系统中已知的DLL文件。

“WINLOGON”：WINLOGON登陆项对应的自启动注册表子项及值项。

“WINSOCK提供商”：显示已注册的WINSOCK协议，包括WINSOCK服务商。由于目前只有很少的工具能够移除该项目下的内容，恶意软件经常伪装成WINSOCK服务商实现自我安装。AUTORUNS可以卸载此项目下的内容，但不能禁用他们。

“打印监视器”：显示在PRINT SPOOLER服务中被加载的DLL文件。一些恶意软件可能利用此服务项目实现开机自启动。

“LSA提供商”： LSA的全称为“Local Security Authority”——本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从 Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并和存储在账号数据库中的密钥进行对比，如果对比的结果匹配，LSA就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA就认为用户的身份无效。这时用户就无法登录计算机。

下面该进入正题了。之前，我们需要一一了解该软件窗口下菜单栏的用法，讲解菜单功能之前，先统一一下思想：本软件窗口项目列表中灰色的部分，我这里叫自启动子项（不能也不允许你删除，不能使用“验证”、“属性”菜单功能，想想这应该是当然的罗），白色的部分，我称之为自启动值项，记住了！