Autoruns, ce bon vieil utilitaire qui dépote encore

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Autoruns, ce bon vieil utilitaire qui dépote encore

Message par ѠOOT » 14 août 2015 13:14

Bonjour,

Autoruns est un utilitaire écrit il y a plus de dix ans par Mark Russinovitch de Sysinternals ( Microsoft ). Il permet d'afficher les éléments, généralement des programmes, configurés pour être chargés automatiquement au démarrage. Il existe deux versions : Autoruns qui dispose d'une interface graphique ( GUI ) destinée aux utilisateurs et Autorunsc en ligne de commandes plutôt orientée pour répondre aux besoins des administrateurs et autres utilisateurs confirmés.

Autoruns n'a pas besoins d'être installé. Celui-ci dispose de fonctionnalités permettant de faire une capture instantanée des résultats d'une machine A afin de les recharger à l'identique depuis une machine B. Il a son propre format de fichier ; les fichiers portent les extensions .ARN ( AutoRuns Data )

Image

La version graphique fonctionne avec le format ARN, les résultats affichés seront donc interprétés. Pour une approche plus pointue, corroborer les résultats avec les formats de sortie XML & CSV en utilisant la version en ligne de commandes. Je vais commencer par détailler chaque menu de l'interface graphique.

Menu "File"
Image

Open : Ouvre un fichier au format .ARN
Save : Sauvegarde les résultats au format .ARN
Analyze Offline System : Analyse en mode hors-ligne
Compare : Comparer deux fichiers .ARN
Refresh : Rafraichir l'affichage des résultats
Exit : Sortir



Menu "Entry"
Image

Delete : Effacer une entrée sélectionnée ( ATTENTION ! )
Copy : Copier une entrée sélectionnée
Jump to Entry : Se positionne sur l'entrée dans le Registre
Jump to Image : Se positionne à l'emplacement du fichier
Check VirusTotal : Recherche la correspondance sur VT
Process Explorer : Recherche si le processus est actif (ProcessExplorer doit-être exécuté)
Search Online : Recherche sur le Word Wide Web
Find : Effectuer une recherche sur les résultats
Properties : Recherche l'emplacement du fichier



Menu "Options"
Image
nb: Ces mêmes options sont disponibles avec un clique-droit sur un résultat.

Hide Empty Locations : Masque l'affichage des emplacements "vides"
Hide Microsoft Entries : Masque l'affichage des entrées Microsoft
Hide Windows Entries : Masque l'affichage des entrées Windows
Hide VirusTotal Clean Entries : Masque l'affichage des entrées saines de VT
Scan Options : Active les options de vérifications
* Scan only per-user locations
* Verify code signatures
* Check VirusTotal
Font : Personnalise la police de caractères



Menu "User" permet de sélectionner l'utilisateur
Image


Zone de saisie "Filter" de la barre d'icônes
Image
Permet d'appliquer un filtre sur l'affichage des résultats.
À ne pas confondre avec la fonction de recherche.



Icônes et libellés associés aux entrées.
Image


Pour utiliser l'utilitaire en ligne de commandes, ouvrir l'Interpréteur de commandes ( cmd.exe )

Usage: autorunsc [-a <*|bdeghiklmoprsw>] options <systemroot> <userprofile>] | [user]]]

-a Autostart entry selection:
* All.
b Boot execute.
d Appinit DLLs.
c Codecs.
e Explorer addons.
g Sidebar gadgets
h Image hijacks.
i Internet Explorer addons.
k Known DLLs.
l Logon startups
m WMI entries.
n Winsock protocol and network providers.
o Office addins.
p Printer monitor DLLs.
r LSA security providers.
s Autostart services and non-disabled drivers.
t Scheduled tasks.
w Winlogon entries.


-c Print output as CSV.
-ct Print output as tab-delimited values.
-h Show file hashes.
-m Hide Microsoft entries (signed entries if used with -v).
-s Verify digital signatures.
-t Show timestamps in normalized UTC (YYYYMMDD-hhmmss).
-u If VirusTotal check is enabled, show files that are unknown
by VirusTotal or have non-zero detection, otherwise show only
unsigned files.
-x Print output as XML.
-v[rs] Query VirusTotal for malware based on file hash.
Add 'r' to open reports for files with non-zero detection. Files
reported as not previously scanned will be uploaded to VirusTotal
if the 's' option is specified. Note scan results may not be
available for five or more minutes.
-vt Before using VirusTotal features, you must accept
VirusTotal terms of service.



Prenons deux exemples:

♦ La commande autorunsc -a b -s -h : l'option -a avec le paramètres "b" affichera les entrées du "Boot execute" ; l'option -h va réaliser les empreintes ( MD5/SHA1/PESHA1/SHA256/IMPHASH ) de l'emplacement des fichiers & l'option -s va vérifier les signatures digitales ( affichera "Vérified" ou "Not Verified" ).

♦ La commande autorunsc -a w -h -s -x > winlogon.xls : l'option -a avec le paramètres "w" affichera les entrées de "Winlogon" ; l'option -h va réaliser les empreintes ( MD5/SHA1/PESHA1/SHA256/IMPHASH ) de l'emplacement des fichiers ; l'option -s va vérifier les signatures digitales ( affichera "Vérified" ou "Not Verified" ) ; l'option -x affichera les résultats structurés au format XML ; le ">" va rediriger l'affichage dans le fichier "winlogon.xls". À l'ouverture du document Office avec Microsoft Excel, un menu va s'afficher, sélectionner "En tant que liste XML". Un tableau de vos données sera alors automatiquement généré.


Autoruns permet d'afficher et de partager des résultats avec un ou plusieurs observateur(s) mais dans la foulée il permet aussi de réaliser des actions, de manipuler, ce qui s'avère être problématique car ça nécessite des connaissances approfondies sur les mécanismes Microsoft Windows. Pour faire simple, c'est un utilitaire qui ne pardonne pas en cas de fausses manipulations. Pour cette raison : ne rien décocher et surtout ne rien effacer. Pour les utilisateurs plus avertis, l'action de décocher une case va désactiver l'élément donc ne décocher que les éléments que vous connaissez sur le bout des doigts : n'utiliser la fonction "Delete" qu'en cas de dernier recours.

edit: 27 octobre 2015 : sortie de Autoruns v13.5
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Autoruns, ce bon vieil utilitaire qui dépote encore

Message par Malekal_morte » 14 août 2015 15:27

Merci.

oui les programmes sysinternals assurent PDT_003
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 10 invités