Funzionalità "Analizza sistema offline" Aggiunta in Autoruns da Windows Sysinternals

Autoruns di Windows Sysinternals è uno strumento indispensabile per ogni strumento di risoluzione dei problemi, ed è sempre stato nel mio toolkit (e tenuto regolarmente aggiornato) per anni. Nella versione 10.02 è stata aggiunta una nuova opzione "Analizza sistema offline ..." in Autoruns che consente di ispezionare la configurazione di avvio, i servizi e le altre impostazioni di un sistema offline.

È sufficiente collegare il disco rigido del PC soggetto come unità slave a un altro sistema o montare l'unità / immagine che si desidera analizzare offline (per la rimozione di malware / rootkit o per altri scopi) in un altro sistema e avviare Autoruns come amministratore (elevata). Indicare la directory di Windows e le posizioni del profilo utente del sistema offline e Autoruns enumera i punti di avvio e altre impostazioni dagli hive del registro di sistema e NTUSER.DAT, dalle relative directory dei percorsi citati.

  • Gli hive del registro di sistema si trovano in \ Windows \ System32 \ Config
  • Registro utenti Hive NTUSER.DAT situato in \ Users \ {nome utente}

Autoruns and Dead Computer Forensics è un bell'articolo scritto da Chad Tilbury - che puoi leggere per ulteriori informazioni. La funzione Analizza sistema offline in Autoruns potrebbe tornare utile in situazioni in cui il supporto / accesso remoto al PC problematico non è un'opzione, o se il PC è in uno stato non avviabile, specialmente in seguito all'attacco di malware / rootkit o forse, a causa di un'altra configurazione errata .

Articoli Correlati