缘起
今天,被某些开机自动运行的程序“惹毛”了。打算使用 Autoruns 查看这个进程为什么会开机启动。没想到打开 Autoruns 后,只能在任务栏看到图标,怎么点都点出不来。Autoruns 已经启动了,不然任务栏不会看到图标,到底是什么原因导致的呢?继续阅读前,请回忆下是否遇到过类似的情况,有什么思路吗?
说明:很早就写了初稿,一直没来得及编辑完善,直到周末才编辑完。
捕获事件
照例请出我们的老朋友 —— process monitor。开始捕获,然后打开 Autoruns,当任务栏出现 Autoruns 的图标后,停止捕获。通过 Tools -> Process Tree... (或者按 Ctrl + T)查找到 Autoruns,在其上面右键,Add Process to Include Filter,只显示 Autoruns 相关的事件,准备进一步分析。
没想到!?居然一篇空白,什么都没有了!
小意外
process monitor 肯定捕获了对应的事件,但是为什么什么都没有了呢?先检查下过滤条件。
原来,process monitor 默认会过滤掉 Autoruns 相关的事件。关闭这条过滤规则,点击 OK,关于 Autoruns 的事件都出来了。
分析
捕获的事件有了,我们就可以继续分析了。我猜测,Autoruns 应该把配置保存到了注册表中,所以排除其它几类事件,只保留注册表相关事件。应该是成功的读取到了某些错误的设置,所以只保留 Reuslt 是 Success 而且 Operation 是 RegQueryValue 的事件。(当然,这是我的猜测。还有可能是没读取到某些关键设置,如果是没读取到,我们应该把 Result 列是 Success 的排除掉。)
一般情况下,很多程序会把对应的设置保存到 HKCU 下,而不是 HKLM。因为写入 HKLM 需要管理员权限,读取不用。所以我们还可以排除 Path 以 HKLM 开头的记录。
做好过滤后,往下浏览下,发现了四个跟位置有关的参数。
发现,其中的 ypos 的值很奇怪,删除后重新启动 Autoruns 即可正常显示了。整个过程请参考下面的屏幕录像。
友情提示:
Autoruns在关闭的时候会保存相关配置到注册表,所以需要先关闭Autoruns,再做修改操作。
回顾
在公司的时候,接过外接显示器。应该是 Autoruns 上次退出的时候的位置正在外接显示器,保存的位置是相对于外接显示器的位置。本次启动后,依然想在外接显示器中显示。但是,外接显示器已经没有了,所以不能正常显示出来。make sense!
总结
Autoruns会保存相关设置到注册表中,对应的注册表位置是HKCU\Software\Sysinternals\AutoRuns。- 猜想其它
Sysinternals工具也会把设置保存到HKCU\Software\Sysinternals\下面。 process monitor默认会过滤一些事件,其中就包括Autoruns相关的事件。process monitor真的是排错的神兵利器。但是一定要用好过滤才行。否则就是大海捞针!
