如何在PE上使用autoruns、Wsyscheck

988668

这两个都可以在PE中使用，不过需要注意那个核心文件的版本，过高版本的无法支持，建议可以下楼下的那个游戏完美版看看，不过现在已经下不来，超过了200个下载量了，郁闷之极哦

就是这个：WINPE Plus 娱乐游戏完美2.0版（8号已更新版本）
新的地址在：http://www.fs2you.com/files/7c8797de-bd79-11dc-bcbc-0014221b798a/

[ 本帖最后由 988668 于 2008-1-8 12:19 PM 编辑 ]

lxl1638

能使用与起作用是两回事，这两个工具都是对当前系统的，都是分析当前系统是否存在可疑进程，无法分析远程硬盘上的系统，这两个工具用在PE上意义不大。

sztopms1

楼上老大正解。

包括PE下用的杀病毒软件，都不太完美。有次我用PE+卡巴7，居然连个autorun.inf病毒都杀不死！

421062724

可以考虑先在进入PE的时候就删掉所有硬盘上的AUTORUN.INF，然后进入PE后再用杀软查杀，或者自己写个BAT，根据AUTORUN.INF里的内容获得病毒名,再自动杀灭

421062724

但是流氓软件和一些深藏的木马就不好弄了

123

原帖由 nn2nn 于 2008-1-8 13:08 发表


能不能制造启动环境，蒙骗autoruns、Wsyscheck，就象获取XP驱动一样。（获取XP驱动时好象蒙了DRVCON）

如果它是用类似行为分析之类的方法再怎么蒙骗也没用。

421062724

我就是懒人一个，有什么问题不想搞就直接GHSOT

421062724

不过我现在不换系统了，老爸装了个银行软件，换了系统，什么证书的都要搞过，所以我有两三个月没GHSOT了。

421062724

我的电脑从高二以来就没中过毒，有一年多了，换系统是因为无聊-_-

yd21

确实现在PE下没有比较好的管理目标系统启动项目的软件，直接到注册表中去查看太麻烦费时，而且容易漏，我现在用的是ERD2005的计算机管理中的，但启动项没Autoruns全面，操作辨别也不是很方便。服务和驱动用SERVICESPE管理倒是还行。如果Autoruns也能像SERVICESPE一样加载目标HiVE文件工作的话就好了。
希望有高手能实现。

xubo1971

在XP下先用“构建安全环境”功能再杀木马，是很容易清除的。

123

楼上说的跟主题有什么关系?

xubo1971

“在XP是使用autoruns、Wsyscheck，能很好地发现木马。在挂马的XP是不易删除木马的。”

我的意思是说，在挂马的XP下用Wsyscheck可以很容易删除木马。

123

那怎么在PE下用?这才是主题

xubo1971

难以在XP下解决才考虑用PE，能够在XP下解决就没必要硬是要求用PE了吧。

123

楼主还有兴趣?要不要HOOK一下?

liuhj

在PE下，使用RunScanner运行一些杀马软件如AVG Anti Spyware、Ad-Aware SE、SUPERAntispyware等可以查杀硬盘系统的间谍、木马。

RunScanner是一款优秀的PE工具，使用它配合一些程序也可以编辑硬盘系统注册表、查看硬盘系统的信息、备份硬盘系统的设备驱动。

跨海征东

PE下可以运行Wsyscheck查看C盘的服务管理、活动文件等等，WangSea老大不是一般的厉害。




[ 本帖最后由 跨海征东 于 2009-6-2 14:20 编辑 ]

yjd

可惜不开发了。
用这款工具很多年了。还有微软的那个几个都是非常好。

紫狐

晕死～～08年的帖子又给掘了出来。
不贵既然被掘出来了，就顺便说一下怎么在pe运行autoruns吧，我测试过，在pe下是能够使用RUNSCANNER.EXE来加载autoruns读取硬盘的启动项目的，用法：
RUNSCANNER.EXE /t 0 autoruns.exe，运行后就可以选择查看的用户，选择后就OK了。