一、主要功能菜单的介绍：

（一）“文件”

该菜单项目的下拉菜单项目包括：

1、“查找”：可以用来查找和定位包含输入字段的所有自启动子项和值项。比较实用的功能。

2、 “比较”：用于比较当前状态和以前保存过的日志的差异并设置标记。如果选择这个菜单项目，则弹出一个对话框要求你选择一个你保存过的以前的日志，选定所需要的日志后，点“打开”，如果选定的日志的自启动子项、自启动值项与当前的状态有差异，AUTORUNS将以绿色突出显示，表示前后的自启动项存在不符。超有用的功能（后面有介绍）。

3、“保存”、“另存为”：保存日志用的，这里就不多讲了。

4、“刷新”：…………过。

5、“退出”：…………。

图7

（二）“项目”（其下拉菜单和在项目条上点右键弹出的快捷菜单内容、功能完全相同）

该菜单项目的下拉菜单项目包括：

1、“删除”：如果选定了一个自启动值项，该菜单项即可用，可以用来删除所选择的启动项目（可惜不能一次删除多个项目，当然，也不能删除开机自启动项目注册表子项）；

2、“复制”：可以复制所选择自启动子项和自启动值项，可用“粘贴”将启动子项和自启动值项的内容复制到其他需要用的地方。

3、“验证”：选择这个菜单项后，软件将自动对列表中所选自启动值项进行数字签名验证，可以通过它发现病毒和流氓软件的破绽。

4、“跳转到”：选择这个菜单项后，将自动定位到所选自启动子项和自启动值项在注册表的相应位置，比较实用的功能，多用来对有问题但不能删除的自启动值项进行编辑，以修改被病毒强行修改的一些系统核心的自启动值项的注册表值项值。

5、“GOOGLE/MSN”：选定某个自启动子项和自启动值项后，选择这个菜单项目将以被选择内容为字段在GOOGLE/MSN上进行搜索。

6、“进程浏览器”：这玩意我用不了，提示有错误，无奈先过了。

7、“属性”：可以快速显示自启动值项对应文件的属性，十分方便的功能，一些时候可以通过查找文件属性相关数据判断该文件是否正常（如创建时间等数据）。

图8

该菜单项目的下拉菜单项目包括：

1、“包括空白启动位置”：如果AUTORUNS找不到自启动值项的启动位置，该值项将以空白显示。也就是说，如果AUTORUN找不到映像文件对应的自启动项目，选择这个菜单将显示这个AUTORUNS不能识别的自启动项（虽然自启动项目的名称和说明可能都是空的）。勾选或取消勾选后要用“刷新”才有效。

2、“验证代码签名”：一个很实用的功能，是用来指验证所有自启动值项的文件签名（Windows下的硬件有一个签名的功能，它是为了保证所有的驱动文件是经过MICROSOFT CORPORATION测试，符合HAL兼容性），如果核对通过，则可基本排除自启动值项是恶意软件的启动项目。勾选后要用“刷新”才有效。

3、“隐藏微软项目”：同样是一个很实用的功能，可以隐藏微软认证的项目，因为微软认证的项目不再显示，可供怀疑的自启动子项、自启动值项大幅度减少，使发现不正常的自启动值项的难度和工作量降低。勾选后要用“刷新”才有效。

4、“字体”：前面都用过了…………直接过。

5、“搜索引擎”：有GOOGLE和MSN两个子菜单项，选择其中一个后，被选择的就被作为AUTORUNS的默认搜索引擎，并直接在“项目”下拉菜单或在自启动子项、自启动值项点右键弹出菜单的第五项反映出来。

（四）“用户”

该菜单项目的下拉菜单项目（根据操作系统的不同、用户帐户的不同，显示的菜单项目的名称和个数也不同，我的是WINXPSP2操作系统，一个管理员帐户）包括：

“操作系统版本-用户帐户名”和“操作系统版本-超级管理员用户帐户名”。有多少用户帐户就有多少个菜单项目（没有试验，不知道有兴趣的朋友不妨试下）。比如该菜单项的下拉菜单，在我机只有“WINXPSP2-***”和“WINXPSP2-ADMINISTRATOR”两个子项目。用鼠标左键勾选择不同项目可以实时切换不同帐户下自启动子项和自启动值项（哪个菜单项前打勾，就表示当前显示的是哪个帐户的自启动子项目和自启动值项）。

（五）“帮助”：直接略过。

二、常用工具栏的介绍

在菜单栏下面，有一排按钮组成的常用工具栏，根据下图的标记的顺序，简单介绍一下：

图11

1号按钮：“保存”按钮（等同于菜单栏的“文件”--“保存”功能）

2号按钮：“刷新”按钮（等同于菜单栏的“文件”--“刷新”功能）

3号按钮：“查找”按钮（等同于菜单栏的“文件”--“查找”功能）

4号按钮：“属性”按钮（等同于菜单栏的“项目”--“属性”功能）

5号按钮：“删除”按钮（等同于菜单栏的“项目”--“删除”功能）

6号按钮：“跳转”按钮（等同于菜单栏的“项目”--“跳转到”功能）

图10

三、特色功能

（一）比起注册表编辑器庞大的数据库来说，AUTORUNS显得更加专业--只管理开机自启动项，别的不管，使用起来更简便和有针对性。这也是AUTORUNS软件的最大特色。

（二）利用“文件”--“比较”功能，可轻易找出当前系统自启动项比以前保存日志时系统增加的自启动子项和自启动值项，使检验添加自启动项的正常与否变得更加方便。

（三）“验证代码签名”、“隐藏微软项目”这两个功能，使得判断某个自启动子项和自启动值项是否是恶意软件更加简单，否则项目太多（一般有200多个），会看着发晕的。

（四）用“跳转到”菜单项目建立了与注册表之间的快速切换，特别适合用来调用注册表编辑器来编辑一些被恶意软件强行插入病毒模块字段的注册表值项值。

（五） “属性”菜单项目可以直接在自启动项目上用右键调出，也可以在选择该项目后用“项目”--“属性”调出，直接定位并显示自启动项指向映像文件的“属性”，由此可以方便地利用文件的创建时间、大小、版本号等要素判断映像文件（自启动项）是否正常，应该是很方便也很有特色的一个功能！

四、实战案例

案例一、删除有问题的驱动保护

如通过SRENG扫描日志发现有个不明驱动项目USBVM31B.SYS在机中活动！（这里仅仅是在举例，实际上这个服务项目是摄像头驱动，而且为了说明问题我对该映像文件的“属性”做了修改，实际该文件并非病毒驱动文件，不可照搬使用哦！）

怎么办？按照下列步骤，你会发现，原来查杀病毒驱动保护也不复杂：

1、双击autoruns.exe，进入AUTORUNS窗口， 

图12 

2、选项--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目； 

图13

3、“文件”--“查找”--输入“USBVM31B.SYS”--回车，让AUTORUNS自动查找包括“USBVM31B.SYS”字段的自启动值项并定位； 

图14 

图15

如上图，发现USBVM31B.SYS这个DD有驱动保护，且驱动保护项目为ZSMC301B

图16

4、右键找到的项目条，选择“验证”，按菜单栏下的“刷新”按钮刷新一下，发现AUTORUNS提示“未通过验证”，有点怀疑；

图17

5、右键该项目条，选择“属性”，发现该映像文件创建时间是今天。因为最近没有安装新软件和硬件，感觉其有重大安全隐患。

图18

6、右键该项目条，选择“GOOGLE/MSN”，在网上查找该映像文件的相关资料：

图19

7、经过在网络上查找资料确认，认定该文件为病毒文件（为说明问题才这样说的，别当真！），这就证明ZSMC301B这个自启动项目就是病毒的驱动保护。在该项目条上右键，选择“删除”，删除了该自启动项之后， USBVM31B.SYS这个病毒文件失去了驱动保护，也就无用武之地了，而且可以直接用“SHIFT”+“DEL”删除（如果不删除此驱动保护，你会发现在删除“USBVM31B.SYS”这个映像文件时，会出现“该文件正在运行，请关闭相关的程序后再删除”之类的提示，或者即便能删除也会很快复活。这就是病毒或流氓软件热衷于此的根本原因）。

图20

8、为了彻底不留后患，按照AUTORUNS提供的信息找到该映像文件（删除ZSMC301B这个自启动项前可以在其项目条上右键，选择“复制”，将复制内容粘贴到写字板或记事本中，以便删除映像文件时查找该文件的路径和文件名），删除c:\windows\system32\drivers\USBVM31B.SYS这个文件。

图21