缘起
今天,被某些开机自动运行的程序“惹毛”了。打算使用 Autoruns
查看这个进程为什么会开机启动。没想到打开 Autoruns
后,只能在任务栏看到图标,怎么点都点出不来。Autoruns
已经启动了,不然任务栏不会看到图标,到底是什么原因导致的呢?继续阅读前,请回忆下是否遇到过类似的情况,有什么思路吗?
说明: 很早就写了初稿,一直没来得及编辑完善,直到周末才编辑完。
捕获事件
照例请出我们的老朋友 —— process monitor
。开始捕获,然后打开 Autoruns
,当任务栏出现 Autoruns
的图标后,停止捕获。通过 Tools
-> Process Tree...
(或者按 Ctrl + T
)查找到 Autoruns
,在其上面右键,Add Process to Include Filter
,只显示 Autoruns
相关的事件,准备进一步分析。
<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">add-autoruns-to-include-filter</figcaption>
没想到!?居然一篇空白,什么都没有了!
小意外
process-monitor-filter-empty<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">process-monitor-filter-empty</figcaption>
process monitor
肯定捕获了对应的事件,但是为什么什么都没有了呢?先检查下过滤条件。
<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">process-monitor-filter-autoruns-excluded-by-default</figcaption>
原来,process monitor
默认会过滤掉 Autoruns
相关的事件。关闭这条过滤规则,点击 OK
,关于 Autoruns
的事件都出来了。
<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">autoruns-events-show-up</figcaption>
分析
捕获的事件有了,我们就可以继续分析了。我猜测,Autoruns
应该把配置保存到了注册表中,所以排除其它几类事件,只保留注册表相关事件。应该是成功的读取到了某些错误的设置,所以只保留 Reuslt
是 Success
而且 Operation
是 RegQueryValue
的事件。(当然,这是我的猜测。还有可能是没读取到某些关键设置,如果是没读取到,我们应该把 Result
列是 Success
的排除掉。)
一般情况下,很多程序会把对应的设置保存到 HKCU
下,而不是 HKLM
。因为写入 HKLM
需要管理员权限,读取不用。所以我们还可以排除 Path
以 HKLM
开头的记录。
做好过滤后,往下浏览下,发现了四个跟位置有关的参数。
autoruns-position-registry-setting<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">autoruns-position-registry-setting</figcaption>
发现,其中的 ypos
的值很奇怪,删除后重新启动 Autoruns
即可正常显示了。整个过程请参考下面的屏幕录像。
友情提示:
Autoruns
在关闭的时候会保存相关配置到注册表,所以需要先关闭Autoruns
,再做修改操作。
回顾
在公司的时候,接过外接显示器。应该是 Autoruns
上次退出的时候的位置正在外接显示器,保存的位置是相对于外接显示器的位置。本次启动后,依然想在外接显示器中显示。但是,外接显示器已经没有了,所以不能正常显示出来。make sense!
总结
-
Autoruns
会保存相关设置到注册表中,对应的注册表位置是HKCU\Software\Sysinternals\AutoRuns
。 - 猜想其它
Sysinternals
工具也会把设置保存到HKCU\Software\Sysinternals\
下面。 -
process monitor
默认会过滤一些事件,其中就包括Autoruns
相关的事件。 -
process monitor
真的是排错的神兵利器。但是一定要用好过滤才行。否则就是大海捞针!
网友评论