عادةً ما تتم برمجة البرامج الضارة للبقاء مصابة على النظام لأطول فترة ممكنة من أجل سرقة مزيد من المعلومات من الكمبيوتر من خلال تسجيل المفاتيح ، أو لمواصلة نشر وإصابة أجهزة الكمبيوتر الأخرى على الشبكة ، أو لتكون جزءًا من شبكة الروبوتات في انتظار سيدها حتى تأمرهم بشن هجوم DDoS. من أجل البقاء مصابًا ، بخلاف عدم الكشف عنه ، يجب تشغيله تلقائيًا عند تشغيل Windows. تتمثل إحدى طرق اكتشاف الإصابة في Windows في التحقق من أماكن بدء التشغيل بحثًا عن أي إدخالات مشبوهة.
الطريقة الأساسية للتحقق من عناصر بدء التشغيل هي باستخدام أداة "تكوين النظام" (msconfig.exe) المضمنة في Windows ولكن للأسف ، فإن النقاط التي يتم التحقق منها غير مكتملة ، ويمكن تعطيلها بسهولة من خلال اختراق التسجيل البسيط ولا يقوم MSConfig يخبرك الإدخالات غير الآمنة. كانت HijackThis أداة شائعة لتحليل جهاز كمبيوتر مصاب بالبرامج الضارة يتضمن إدخالات بدء التشغيل في نتيجة الفحص ولكن للأسف تم استبدالها بواسطة معظم الأدوات الأخرى من نفس النوع.
فيما يلي 6 أدوات مجانية يمكنك استخدامها لتحليل عناصر بدء التشغيل بما في ذلك المواقع الصعبة غير المدرجة في msconfig. 1. Emsisoft HiJackFree
HiJackFree هي أداة مجانية لتحليل النظام تقدمها Emsisoft ، وهي الشركة المصنعة لبرنامج مكافحة البرامج الضارة الشهير للمستخدمين المتقدمين لاكتشاف البرامج الضارة وإزالتها من جهاز الكمبيوتر. للتحقق من إدخالات بدء التشغيل ، انقر فوق Autoruns في الشريط الجانبي الأيسر حيث يسرد العناصر التي يتم تشغيلها بناءً على الطرق المختلفة. ما أعجبنا حقًا في HiJackFree هو أنه سيحاول تلقائيًا تحديد ما إذا كانت الإدخالات آمنة أو غير آمنة وتسميها بترميز الألوان لتسهيل التعرف عليها.
إذا كان لديك اتصال إنترنت نشط ، يمكنك النقر فوق رمز التحديث الموجود في أعلى اليسار الذي يقول "تحديث البيانات عبر الإنترنت تلقائيًا" عندما يحوم مؤشر الماوس فوقه. سيؤدي ذلك إلى التحقق من عناصر بدء التشغيل بأحدث البيانات لتوفير تحليل أكثر دقة وحداثة. يمكنك تعطيل العنصر مؤقتًا من بدء التشغيل عن طريق إلغاء تحديد مربع الاختيار وتحرير وحذف وحتى إضافة إدخالات بدء تشغيل جديدة. تستحق علامة التبويب "الخدمات" أيضًا التحقق لأنها طريقة بدء تشغيل أخرى يمكن للبرنامج تشغيلها حتى قبل تسجيل دخول المستخدم إلى Windows.
بخلاف تحليل مناطق بدء التشغيل ، يمكن لـ HiJackFree أيضًا إظهار معلومات تفصيلية حول العمليات الجارية والمنافذ التي يتم فتحها حسب العملية وإضافات المستكشف و LSP وإدخالات ملفات HOSTS وتثبيت ActiveX على نظام Windows. إذا كنت ترغب في الحصول على تقرير عن تحليل HiJackFree ، يمكنك النقر على زر التحليل عبر الإنترنت الموجود في أعلى اليمين حيث سيتم إنشاء ملف السجل وتحميله تلقائيًا إلى موقع Emsisoft للتحليل. بمجرد اكتمال التحليل ، سيتم فتح صفحة التفاصيل باستخدام متصفح الويب الافتراضي.
تنزيل Emsisoft HiJackFree
2. Runscanner
Runscanner هو محلل بدء تشغيل مجاني ومحمول يأتي في وضعين هما المبتدئ والخبير. في الأساس ، يُقصد من وضع المبتدئين مجرد مسح وإنشاء ملف السجل و "التشغيل" ليتم مراجعته من قبل متخصص في البرامج الضارة. أما بالنسبة إلى وضع الخبير ، فهناك يمكنك عرض جميع عناصر بدء التشغيل وإصلاحها أيضًا إذا وجدت المشتبه فيه. بدلاً من مجرد سرد كل عناصر بدء التشغيل ، يسهّل Runscanner سرد الإدخالات غير الموجودة في القائمة البيضاء فقط. لا تشير العناصر المدرجة بالضرورة إلى أنها غير آمنة ولكنها تتطلب فقط اهتمامًا إضافيًا للتأكد من أنك تعرف مصدرها.
لحذف عنصر بدء التشغيل ، انقر نقرًا مزدوجًا فوق الإدخال لوضع شيك. ثم انتقل إلى علامة تبويب Fixer حيث يمكنك مراجعة العناصر التي تريد حذفها. لتأكيد حذف العناصر ، انقر فوق الزر إصلاح العناصر المحددة. يمكنك أيضًا النقر مرتين على إدخال في علامة تبويب Fixer لإزالة العنصر من القائمة. يمكن استعادة أي عناصر بدء تشغيل تم حذفها من Runscanner من علامة التبويب أشياء إضافية> المحفوظات / النسخ الاحتياطية.
يأتي Runscanner أيضًا بوظائف إضافية للبحث عن الوحدات المحملة ، وقاتل العملية مع القدرة على الحذف عند إعادة التشغيل التالي وتحميل الملفات إلى VirusTotal للمسح الضوئي بأكثر من 40 برنامجًا مختلفًا لمكافحة الفيروسات.
تنزيل Runscanner
3. التشغيل التلقائي
Autoruns هي واحدة من أكثر الأدوات المحمولة شيوعًا المستخدمة لتحليل برامج بدء التشغيل في Windows التي أنشأتها Sysinternals ويتم الحصول عليها من قبل Microsoft. هذه الأداة هي أكثر للمستخدمين المتقدمين لأنها لا تأتي مع القدرة على التعرف على العناصر غير الآمنة أو الخطرة. يستخدم ترميزات ملونة لبعض العناصر مثل اللون الأصفر للملفات التي لم يتم العثور عليها والأحمر للعناصر التي لا تحتوي على معلومات خصائص الملف.
يمكنك تعطيل إدخال بدء التشغيل مؤقتًا عن طريق إلغاء تحديد مربع الاختيار. عندما تجد أن التغييرات التي تم إجراؤها آمنة ، يمكنك حذف الإدخال نهائيًا باستخدام قائمة سياق النقر بزر الماوس الأيمن. بشكل افتراضي ، يقوم أيضًا بإخفاء إدخالات Windows لمنعك من تعطيل إدخال بدء تشغيل هام عن طريق الخطأ والذي سيؤدي إلى عدم تشغيل Windows لأن استعادة التغييرات عن طريق تحرير التسجيل بدون تمهيد في Windows يمكن أن يمثل تحديًا كبيرًا.
تنزيل Autoruns
4. مدير حلول التشغيل الآلي عبر الإنترنت
مدير التشغيل التلقائي للحلول عبر الإنترنت ، اختصار لـ OSAM هو محلل بدء تشغيل آخر يأتي مع القدرة على مسح إدخالات بدء التشغيل باستخدام ماسح البرامج الضارة عبر الإنترنت. يأخذ الماسح الضوئي للبرامج الضارة عبر الإنترنت من OSAM بشكل أساسي تجزئات العمليات ويقارنها بقاعدة البيانات الخاصة بهم. بعد المسح ، تتم إضافة مستوى الخطر إلى التحليل حتى تتمكن من تجاهل تلك الآمنة ولا تنتبه إلا للمجهول. هناك أيضًا عناصر مصنفة على أنها "ما يصل إليك" والتي يمكن إزالتها أو تركها كما هي لأنها لا تشكل أي مخاطر أمنية.
يتم أيضًا استخدام ترميز الألوان في Online Solutions Autorun Manager حيث يعني اللون الأزرق عدم العثور على الملف والأصفر للملفات التي لا تحتوي على معلومات الملكية. سيؤدي إلغاء تحديد مربع الاختيار إلى تعطيل العنصر من بدء التشغيل. لبعض الأسباب غير المعروفة ، لم نتمكن من حذف عناصر بدء التشغيل نهائيًا لأن خيار "حذف من التخزين" من قائمة سياق النقر بزر الماوس الأيمن يكون دائمًا رماديًا. OSAM متاح في كل من إصدارات التثبيت والمحمولة.
قم بتنزيل برنامج Autorun Manager عبر الإنترنت
5. العدائين الصامتين
Silent Runners هو في الواقع VBScript يقوم ببساطة بإنشاء ملف سجل يحتوي على عناصر بدء التشغيل على النظام. لا توجد واجهة مستخدم رسومية ولا خيارات وسيؤدي تشغيل الملف نفسه إلى إخراج ملف السجل في نفس الدليل مثل البرنامج النصي. لا يتم تضمين عناصر بدء التشغيل التي تنتمي إلى Windows في القائمة ويجب عليك ملاحظة السطور التي تحتوي على <> لأن نقطة التشغيل تستخدمها البرامج الضارة بشكل شائع.
من الواضح أن Silent Runners لا يقصد استخدامها من قبل المستخدمين الأساسيين أو إزالة إدخالات بدء التشغيل المريبة. يثبت VBScript هذا أنه مفيد عندما يتم منعك من تشغيل الملفات القابلة للتنفيذ.
تحميل العدائين الصامتة
6. FreeFixer
FreeFixer هي أداة إزالة عامة تفحص ليس فقط عددًا من مواقع بدء التشغيل ولكن أيضًا العديد من المناطق الأخرى في النظام حيث يمكن أن تخفي البرامج الضارة نفسها. يتم مسح أكثر من 40 موقعًا مختلفًا في المجموع ، بما في ذلك كائنات مساعد المستعرض وأشرطة أدوات وإضافات Mozilla Firefox / Internet Explorer واختصارات التشغيل التلقائي وبدء تشغيل السجل والمهام المجدولة والعمليات المخفية وملف HOSTS وسياسات النظام وبرامج التشغيل والخدمات وإعدادات TCP / IP ، UserInits ، الاختصارات ، الملفات التي تم إنشاؤها أو تعديلها مؤخرًا ، وحدات Svchost.exe / Explorer.exe وغيرها الكثير.
على الرغم من أن البرنامج يستخدم القائمة البيضاء لتقليل عدد الإدخالات الشرعية بالكامل التي تظهر في قائمة النتائج ، إلا أنه يوضح أنك ما زلت بحاجة إلى معرفة كمية لفهم ما تريد الاحتفاظ به وما تريده يمكن أن يكون ضارًا ويحتاج إلى إزالته. نظرًا لأن المسح الضوئي أكثر شمولاً ، يمكن أن يستغرق وقت إكمال العملية 10 دقائق أو أكثر ، لذلك هناك حاجة إلى القليل من الصبر. ما عليك سوى تنزيل مثبت الإعداد أو الإصدار المحمول وتشغيله والضغط على Start Scan.
في حالة استمرار وجود إدخالات لا تفهمها أثناء مراجعة النتائج ، سينقلك الرابط "مزيد من المعلومات" إلى المكتبة عبر الإنترنت على موقع FreeFixer حيث نأمل أن تعطي معلومات أكثر تفصيلاً فكرة أفضل عن العنصر. حدد ما تريد إزالته ثم انقر فوق إصلاح. هناك إعدادات إضافية لجدولة فحص الخلفية وتحميل الملفات إلى FreeFixer عند النقر فوق "مزيد من المعلومات" ، يمكن العثور على ملف نووي ومدقق ملفات النظام في نافذة الأدوات. يتم دعم Windows 2000 إلى 8.1.
تنزيل FreeFixer
ملاحظة المحرر : على الرغم من أن هذه الأدوات الستة التي قدمناها يمكن أن تسرد وتحذف إدخالات بدء التشغيل التي تم إنشاؤها بواسطة برامج طرف ثالث ، إلا أنها لا تزال غير برهان كاذب لأن هناك نوعًا أكثر تقدمًا من البرامج الضارة مثل rootkit التي تتطلب برنامج مكافحة الجذور الخفية لاكتشاف وجودها . علاوة على ذلك ، لقد رأينا كلوغر ذكي حقًا يضيف إدخال بدء التشغيل فقط قبل إنهاء البرنامج عند إيقاف تشغيل Windows ثم يزيل إدخال بدء التشغيل تلقائيًا مرة أخرى بعد تشغيله أثناء بدء تشغيل Windows. تتجاوز هذه الطريقة بشكل فعال الكشف عن أي من الأدوات الخمس التي ذكرناها أعلاه.