Autoruns 是微软旗下 Sysinternals 工具集中的一款工具,用于查看 Windows 启动过程中会自动运行的所有程序和组件。
它的优势在于不仅能显示传统的注册表启动项和“启动”文件夹内容,还能检测到:
- 注册表启动项(Run、RunOnce 等)
- 启动文件夹程序
- 驱动程序和内核模块
- 服务(Windows Services)
- Explorer 插件、浏览器插件
- 计划任务(Task Scheduler)
- AppInit DLL、Winlogon、LSA providers 等系统深层挂钩点
- Office 加载项、第三方 shell 扩展
总之,如果某个程序能在你不知情的情况下自启动,Autoruns 几乎都能检测出来。
如何下载 Autoruns?
Autoruns 是一个免安装的绿色工具,微软提供的压缩包中包含图形界面版(Autoruns.exe)和命令行版(Autorunsc.exe)。
- 官网链接:
learn.microsoft.com/en-us/sysin… - 直接下载链接(微软官方):
👉 点击下载 Autoruns.zip
下载后解压即可使用,无需安装。
Autoruns 的使用方法
1. 启动 Autoruns(建议右键以管理员身份运行)
打开 Autoruns.exe 后,会自动扫描并列出所有的启动项,主界面包含多个标签页,例如:
- Logon:当前用户和系统的注册表启动项
- Services:Windows 服务
- Scheduled Tasks:任务计划程序中的自动启动项
- Drivers:驱动级启动项
- Explorer / IE / Office:系统插件或扩展项
- Everything:显示所有启动项(默认视图)
2. 典型使用技巧
- 筛选非微软项
点击菜单Options > Hide Microsoft Entries,排除掉系统自身启动项,仅查看第三方软件行为。 - 查看项详细信息
点击任意行,会在下方显示其完整路径、注册表位置等信息。 - 禁用或删除
勾选取消可临时禁用;右键选择 “Delete” 可永久移除启动项。 - 右键菜单集成操作
可快速定位注册表位置、打开文件位置,甚至通过 VirusTotal 在线查毒。
命令行版本 autorunsc.exe
对于批处理、自动化检测,你可以使用命令行版本 autorunsc.exe。
示例:
autorunsc.exe -a * > startup_list.txt
这将把所有启动项导出到文本文件中,便于日志审计或远程排查。
常见用途场景
| 使用场景 | 描述 |
|---|---|
| 💻 启动变慢排查 | 找出开机自动运行的程序,禁用无用项 |
| 🦠 木马/恶意软件分析 | 检测隐藏在系统启动过程中的恶意 DLL、驱动、计划任务等 |
| ⚙️ 系统优化 | 精简不必要的自启动项,减少资源占用 |
| 🧪 安全审计/渗透测试辅助 | 分析持久化机制、检测潜在漏洞入口 |
注意事项
- 请谨慎删除系统级组件,建议保留 Microsoft 签名项目
- 部分启动项隐藏得很深,可能需要结合其他工具(如 Process Explorer)进行进一步分析
- 更改生效通常在下次启动或注销后体现
总结
Autoruns 是一款专业而轻量的启动项管理工具,是 Windows 系统优化、排错和安全检查不可或缺的利器。无论你是 IT 运维、开发工程师、安全研究员,还是普通用户,它都能帮助你对系统启动行为了如指掌。
强烈推荐将其加入你的工具箱,和 Process Explorer、Procmon 一起使用效果更佳。
