728x90
반응형
Autoruns는 자동실행되는 프로그램을 보여줍니다.
https://learn.microsoft.com/ko-kr/sysinternals/downloads/autoruns
Windows용 자동 실행 - Sysinternals
시스템이 부팅되고 로그인할 때 자동으로 시작되도록 구성된 프로그램을 확인하세요.
learn.microsoft.com
파일은 아래주소에서 다운로드 받을 수 있습니다.
https://download.sysinternals.com/files/Autoruns.zip
* 사용법
32비트는 Autoruns.exe, 64 비트는 Autoruns64.exe를 실행하면됩니다.
의심가는 파일은 '붉은색'으로 표시됩니다.
하지만, 업데이트 등으로 파일이 변경될 경우에도 색이 바뀔 수 있어 함부로 삭제하면 안됩니다.
없는 파일은 '노란색'으로 표시됩니다.
콘솔 모드 (autorunsc.exe, autorunsc64.exe)도 있습니다.
* 변화가 되면 ?
1. 상태 저장
'File' -> 'Save'로 현재 상태를 저장할 수 있습니다.
2. 비교
저장된 상태는 'File' -> 'Compare'로 비교 할 수 있습니다.
만약 차이가 없다면 'No difference detected.' 메시지가 뜹니다.
변화가 발생했다면 '붉은색'으로 표시됩니다.
파일이 변경될 경우 붉은색으로 표시되는데 정상적으로 변경될 수 있으므로 꼭 악성이라고 생각할 필요는 없습니다
728x90
반응형
'Reverse Engineering > 분석도구' 카테고리의 다른 글
| PE 파일 분류 ... PEiD, Exeinfo PE, Detect It Easy (1) | 2024.11.28 |
|---|---|
| IDA Pro OPCode Hex 표시 (0) | 2024.08.22 |
| Adobe Flash 설치판 다운로드 주소 (0) | 2017.02.16 |
| OS X에서 IDA를 이용한 원격 디버깅 (5) | 2013.01.17 |
| MD5 값 얻기 (1) | 2009.12.15 |