TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Autoruns (まとめ)

【目次】

概要

【使用方法】

使用法: autorunsc [-a] | [-c] [-b] [-d] [-e] [-g] [-h] [-i] [-l] [-m] [-n] [-p] [-r] [-s] [-v] [-w] [-x] [<ユーザー>]

■AUTORUNSC の使用法

-a すべてのエントリを表示します
-b 起動時実行イメージ
-c 結果を CSV 形式で出力します
-d Appinit DLL
-e エクスプローラーのアドオン
-g サイドバー ガジェット (Vista 以降)
-h イメージ ハイジャック
-i Internet Explorer のアドオン
-l ログオン時の起動サービス (既定値)
-m 署名されたマイクロソフト製のエントリを表示しません
-n Winsock プロトコル プロバイダーおよびネットワーク プロバイダー
-p プリンター モニターのドライバー
-r LSA プロバイダー
-s 自動起動サービスおよび無効にされていないドライバー
-t スケジュールされたタスク
-v デジタル署名を検証します
-w Winlogon のエントリ
-x 結果を XML 形式で出力します
<ユーザー> 自動的に実行される項目の表示対象にするユーザー アカウントの名前を指定します
-z <システムルートのパス>

記事

【書籍】

◆Windows Sysinternals 徹底解説 (日経BP, 2017/06/05)
https://shop.nikkeibp.co.jp/front/commodity/0000/P98960/

【ニュース】

◆Sysinternalsのautorunsツールで自動起動するプログラムを調査する (@IT, 2012/08/31 05:00)
https://www.atmarkit.co.jp/ait/articles/1208/31/news140.html
https://malware-log.hatenablog.com/entry/2020/06/15/000000_11

◆「Autoruns」の膨大な情報から本当に怪しいヤツをあぶりだすテク (@IT, 2014/07/28 18:00)
https://www.atmarkit.co.jp/ait/articles/1407/28/news021.html

【公開情報】

◆Autoruns for Windows (Microsoft, 2017/04/05)
https://docs.microsoft.com/ja-jp/previous-versions/bb963902(v=msdn.10)?redirectedfrom=MSDN

◆Autoruns for Windows v13.98 (Microsoft, 2020/06/24)
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

【ツール】

◆Download Autoruns and Autorunsc (Microsoft, 2020/06/24)
https://download.sysinternals.com/files/Autoruns.zip

【関連まとめ記事】

全体まとめ
 ◆ツール (まとめ)

◆フォレンジック解析ツール (まとめ)
https://malware-log.hatenablog.com/entry/Forensic_Tools

解析対象

【ASEP】

■LOGON

◇All User

%ALLUSERPROFILE%\Microsoft\Windows\Start Menu\Program\Startup


◇User

%APPDATA%\Microsoft\Windows\Start Menu\Program\Startup


◇HKCU\Software

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Shell


◇HKCU\Software (x64)

HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

■OFFICE

◇HKLMおよびHKCU内で検査されたレジストリキー

\Software\Microsoft\Office\Access\Addins
\Software\Microsoft\Office\Excel\Addins
\Software\Microsoft\Office\Outlook\Addins
\Software\Microsoft\Office\PowerPoint\Addins
\Software\Microsoft\Office\Word\Addins


◇HKLMおよびHKCU内で検査されたレジストリキー (x86)

\Software\Wow6432Node\Microsoft\Office\Access\Addins
\Software\Wow6432Node\Microsoft\Office\Excel\Addins
\Software\Wow6432Node\Microsoft\Office\Outlook\Addins
\Software\Wow6432Node\Microsoft\Office\PowerPoint\Addins
\Software\Wow6432Node\Microsoft\Office\Word\Addins


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020