TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > ツール: Autoruns > Autoruns (まとめ)

Autoruns (まとめ)

ツール: Autoruns **まとめ *ツール

security-tools.hatenablog.com


【目次】

記事

【書籍】

◆Windows Sysinternals 徹底解説 (日経BP, 2017/06/05)
https://shop.nikkeibp.co.jp/front/commodity/0000/P98960/

【ニュース】

◆Sysinternalsのautorunsツールで自動起動するプログラムを調査する (@IT, 2012/08/31 05:00)
https://www.atmarkit.co.jp/ait/articles/1208/31/news140.html
https://malware-log.hatenablog.com/entry/2012/08/31/000000_1

◆「Autoruns」の膨大な情報から本当に怪しいヤツをあぶりだすテク (@IT, 2014/07/28 18:00)
https://www.atmarkit.co.jp/ait/articles/1407/28/news021.html
https://malware-log.hatenablog.com/entry/2014/07/28/000000_1

【公開情報】

◆Autoruns for Windows (Microsoft, 2017/04/05)
https://docs.microsoft.com/ja-jp/previous-versions/bb963902(v=msdn.10)?redirectedfrom=MSDN

◆Autoruns for Windows v13.98 (Microsoft, 2020/06/24)
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

【ツール】

◆Download Autoruns and Autorunsc (Microsoft, 2020/06/24)
https://download.sysinternals.com/files/Autoruns.zip

【関連まとめ記事】

全体まとめ
 ◆ツール (まとめ)

◆フォレンジック解析ツール (まとめ)
https://malware-log.hatenablog.com/entry/Forensic_Tools

解析対象

【ASEP】

■LOGON

◇All User

%ALLUSERPROFILE%\Microsoft\Windows\Start Menu\Program\Startup


◇User

%APPDATA%\Microsoft\Windows\Start Menu\Program\Startup


◇HKCU\Software

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Shell


◇HKCU\Software (x64)

HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

■OFFICE

◇HKLMおよびHKCU内で検査されたレジストリキー

\Software\Microsoft\Office\Access\Addins
\Software\Microsoft\Office\Excel\Addins
\Software\Microsoft\Office\Outlook\Addins
\Software\Microsoft\Office\PowerPoint\Addins
\Software\Microsoft\Office\Word\Addins


◇HKLMおよびHKCU内で検査されたレジストリキー (x86)

\Software\Wow6432Node\Microsoft\Office\Access\Addins
\Software\Wow6432Node\Microsoft\Office\Excel\Addins
\Software\Wow6432Node\Microsoft\Office\Outlook\Addins
\Software\Wow6432Node\Microsoft\Office\PowerPoint\Addins
\Software\Wow6432Node\Microsoft\Office\Word\Addins

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023