Autorun은 sysinternal(http://www.sysinternals.com)이라는 회사에서 제작하였으며, Autorun뿐만 아니라 각종 유용한 툴을

제작하여 사용자들에게 편의를 제공하였으며, 현재 MS에 합병되어 있는 상태로 알고 있습니다.

(http://technet.microsoft.com/ko-kr/sysinternals ,     http://forum.sysinternals.com)에서 더 많은 정보를 얻을 수 있습니다.

 

 Autoruns 프로그램은 시스템이 부트되거나 로그인, IE(Internet Explorer)를 비롯하여 다양한 윈도우 프로세스들이 실행되도록

수정된 것들을 보여줍니다.


아래 그림은 첫 실행 화면 입니다.


Autorun는 XP, NT, 64bit 윈도우에서도 실행이 됩니다.

여러 탭들에 대해 설명해 드리겠습니다.

Logon

현재 사용자/모든 사용자가 시작 프로그램, 레지스트리 값, 프로그램 실행 위치 등과 같은 자동 시작 위치들을 보여준다.

 

Explorer

익스플로러에 삽입되어 사용 되는 shell 모듈, iE에 설치된 추가 기능 정보, Active X 등을 보여준다.

 

Internet Explorer

IE에 설치된 추가기능, 툴바, 확장모듈 등을 보여준다.

 

Services

시스템이 부팅 되었을때 자동적으로 실행되는 윈도우 서비스들을 보여준다.

 

Drivers

사용불가능한 것을 제외하고 등록된 모든 커널 모드 드라이버들을 보여준다.

 

Scheduled Tasks

부팅되거나 로그온 되었을때 시작되는 스케쥴러를 보여준다.

 

AppInit DLLs

프로그램(어플리케이션) 초기화 DLL (application initialization DLLs) 들을 보여준다.

application initialization DLLs가 정확히 어떤건지 모르겠네요 ㅜㅜ

 

Boot Execute

윈도우 이미지가 아닌 사용자 이미지 부팅되는 동안 실행 되는것을 보여준다.

 

Image Hijacks

이미지 파일 실행 옵션과 명령 프롬프트가 자동 시작 되는 것들을 보여준다.

 

Known DLLs

윈도우가 DLL을 참조하는 어플리캐이션 로드하는 것들의 위치(DLL경로)를 보여준다.

 

Winlogon Notifications

로그온 이벤트를 등록하는(나타내는) DLL들을 보여준다.

 

Winsock Providers

등록된 윈도우 소켓 프로토콜을 보여준다.

일반적으로 악성코드는 자기 스스로 윈소켓을 등록한다.

 

Autorun은 그것들을 이용불가능(해제) 할 순 있지만, 삭제하지는 못한다.

 

LSA Providers

LSA(로컬 사용자 보안정책과 사용자 인증을 담당하는 서브 시스템)를(을) 보여준다.

 

Printer Monitor Drivers

프린터 스풀러 서비스를 로드하는 DLL들을 보여준다. 악성코드들이 이 서비스를 자동으로 실행되게 해왔다.

 

Sidebar

윈도우 사이드 가젯(도구)들을 보여준다

 

 

Option에서 Include Empty Locations 를 체크 해제 하면 요소가 없는 부분들은 보여주지 않는다.

옵션에서 체크 설정/해제하여 불필요한 것들을 보이지 않도록 할 수 있다.

 

 

 

Autorun는 이미 바이러스나 악성코드가 걸렸을때 자동실행 되는 부분들을 확인하는 용도로 사용이 가능하며 현재의 자동실행되는 부분을 저장해두었다가 비교하는 용도로 사용이 가능하다.

 

잘못된 부분이나 수정할 부분이 있으면 댓글 달아주세요

  1. zzz 2012.04.11 18:15

    zzㅋaㅂ2ㅂ

+ Recent posts