文章总结： 本文介绍了Windows官方工具Autoruns在恶意软件排查中的应用。详细解析了不同颜色标记的含义，演示了检查自启动项、计划任务及镜像劫持等关键功能。同时，文章指出Autoruns无法识别的隐蔽持久化手段，如UserShellFolders劫持和COM劫持，为安全人员提供了应急响应和权限维持排查的实用参考。 综合评分： 82 文章分类： 应急响应,安全工具,恶意软件,终端安全,内网渗透

整个网安圈子，谁还没用过Autoruns

原创

weiqin weiqin

大仙安全说

2026年2月5日 23:13 北京

免责声明

大仙安全说的技术文章仅供参考，此文所提供的信息只为网络安全人员进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他! ! !

01

Autoruns介绍

  Windows官方提供的Autoruns工具，查找恶意软件持久化机制的最佳工具，不仅仅显示在startup文件夹下的自动启动程序，也会显示通过Run/RunOnce或者其他注册表项实现自动启动的程序，Autoruns几乎监控了windows系统下所有程序和启动项以供管理。

02

Autoruns颜色代表什么？

粉色：表示该条目对应的应用没有数字签名、签名不匹配或者没有发行商信息（可疑程序一般都是粉色）

黄色：表示该启动条目对应的文件已经不存在了（可疑程序也可能是黄色）

绿色：表示与之前保存的启动项配置比较，对比出来的差异将以绿色高亮进行显示。

03

Autoruns使用

一：扫描状态

正在扫描:

扫描完成：

二：常用功能

打开autoruns后会看到everything栏，可罗列出使用该软件能查看的所有项。

自启动项：

全部的开机自启动项都在这

查看启动项：

类似自启动项哪个功能，就是自启的哪些恶意操作基本都能看到。

查看计划任务：

这个经常用到，非常实用。

查看服务：

也比较常用的功能

查看镜像劫持：

用包浆的图替一下，一般能发现 shift 粘贴键后门：一般后门路径是 C:\windows\system32\cmd.exe，可以在不登陆服务器的情况下，以 administrator 权限执行 cmd

差不多常用的功能就这几个

三：保存功能

这个功能方便二线人员辅助应急，或者自己留存慢慢学习 琢磨每个恶意样本他的一个权限维持的手法，如规避atuoruns检测等……

04

Autoruns无法识别到的情况

这种实现的手法还是非常多的，大部分apt组织都会多多少少去使用这些方法去规避，来增加恶意样本的存活，下面举几个例子。

一：隐藏启动项设置方式

这里将注册表User Shell Folders下的StartUp键的值进行修改，从而实现自启动的目的，那么这样在autorun中无法查看到。

注册表位置：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

Startup数值数据修改为恶意样本的路径

“Startup”=”C:\Temp\恶意样本.exe”

达到效果：

1.每次用户登录时，系统会到C:\Temp\恶意样本.exe执行

2.普通启动项查看工具不会显示这个

3.只有在检查User Shell Folders时才能发现

二：com劫持

COM劫持是一种利用Windows组件对象模型机制的持久化技术，通过劫持合法的COM对象加载恶意代码。最常见的有InprocServer32劫持、LocalServer32劫持、TreatAs劫持等….

[HKEY_CURRENT_USER\Software\Classes\CLSID{42071714-76d4-11d1-8b24-00a0c9068ff3}]

@=”Display Panning CPL Extension”

[HKEY_CURRENT_USER\Software\Classes\CLSID{42071714-76d4-11d1-8b24-00a0c9068ff3}\InprocServer32]

@=”C:\Users\Public\music.dll”

“ThreadingModel”=”Apartment”

这样通过修改注册表将COM对象劫持到恶意DLL，实现权限维持或代码执行。

汉化版本的Autoruns工具,在添加好友后发送，期待与您一起探索更多的可能性！如果有任何问题或建议，随时欢迎与我交流。

感谢关注大仙安全说

添加好友注明来意

公众号 丨大仙安全说

添加VX丨weiqin_6666

长按关注

《往期阅读》

挖矿-学校挖矿排查

“Root之谜：安卓世界的隐秘密码”

IOS系统App抓包技巧

微信取证-制作钓鱼文件拿下色批同事聊天记录

swagger未授权到spring rce

SRC实战策略：高效收集与整理域名资产

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大仙安全说 weiqin weiqin《整个网安圈子，谁还没用过Autoruns》