Autoruns v14.11 工具介绍|福利之家

Autoruns 是一款功能全面的系统自动启动项管理工具，能深度检测 Windows 系统中各类自动启动的程序与驱动，覆盖范围远超常规同类工具，可精准定位系统启动、账户登录及各类内置应用运行时的自启配置，是排查系统自启项、优化系统启动速度的实用利器。

该工具可识别藏于启动文件夹、Run/RunOnce 等注册表项中的自启程序与驱动，同时能全面检测 Explorer 外壳扩展、工具栏、浏览器辅助对象、Winlogon 通知、自动启动服务等各类自启相关组件，完整呈现系统自启配置全貌。

其贴心的 “隐藏已签名的 Microsoft 项” 功能，可快速过滤系统原生自启项，聚焦第三方添加的自启程序，让异常自启项排查更高效；同时支持查看系统中其他账户配置的自启项，兼顾多账户使用场景。此外，工具安装包还附带命令行版本 Autorunsc，支持 CSV 格式输出，适配批量操作与自动化检测需求，用过的用户常会惊讶于系统中实际运行的自启可执行文件数量。

工具使用方法

Autoruns 的操作方式简洁直观，无需复杂配置，运行后即可自动扫描并展示当前系统所有已配置的自启应用，同时列出所有可用于自启配置的注册表路径和文件系统位置，涵盖登录项、Explorer 加载项、IE 加载项（含浏览器辅助对象 BHO）、Appinit DLL、映像劫持、启动执行映像、Winlogon 通知 DLL、Windows 服务、Winsock 分层服务提供商、媒体编解码器等全品类自启项，只需切换界面选项卡，即可查看不同类别的自启配置。

在日常操作中，选中目标自启项，通过 “属性” 菜单项或工具栏按钮，可快速查看对应可执行文件的详细属性；若 Process Explorer 工具正在运行，且有活动进程正在执行该可执行文件，通过条目菜单的 Process Explorer 选项，可直接打开该进程的属性对话框，便于进程与自启项联动排查。

针对自启项的定位与管理，选中目标项后，点击 “跳转到项目” 菜单项或工具栏按钮，可直接导航至该自启项的配置注册表 / 文件系统位置，以及自启映像的实际存储路径，方便精准修改配置；若需禁用自启项，只需取消对应项的复选框即可，操作无需修改原文件；若需彻底删除自启配置，可通过 “删除” 菜单项或工具栏按钮完成。

工具的 “选项” 菜单提供丰富的显示筛选功能，例如可设置仅显示非 Windows 原生自启项，同时可打开扫描选项对话框，按需启用签名验证、Virus Total 哈希检测及文件提交功能；通过 “用户” 菜单，可切换查看系统中不同用户账户的自启项配置，满足多账户管理需求，更多显示设置与操作细节可参考工具联机帮助。

Autorunsc 命令行版本使用

Autorunsc 作为 Autoruns 的命令行版本，适配无图形界面的操作场景，支持批量扫描、自动化脚本调用，其基础使用语法为：

autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]

各参数功能说明如下：

-a：自启项类型选择，* 代表所有类型，b 为启动执行、d 为 Appinit DLL、e 为 Explorer 加载项、g 为侧边栏小工具（Vista 及以上系统）、h 为映像劫持、i 为 IE 加载项、k 为已知 DLL、l 为登录启动（默认选项）、m 为 WMI 项、n 为 Winsock 协议和网络提供商、o 为编解码器、p 为打印机监视器 DLL、r 为 LSA 安全提供程序、s 为自动启动服务和非禁用驱动、t 为计划任务、w 为 Winlogon 项；
-c/-ct：分别以 CSV 格式、制表符分隔值格式打印输出结果；
-h：显示文件哈希值；
-m：隐藏 Microsoft 相关项（与 – v 联用时仅隐藏已签名项）；
-s：验证文件数字签名；
-t：以 UTC 标准格式（YYYYMMDD-hhmmss）显示时间戳；
-u：启用 VirusTotal 检查时，仅显示未知或检测结果非零的文件，未启用时仅显示未签名文件；
-x：以 XML 格式打印输出结果；
-v [rs]：基于文件哈希查询 VirusTotal 恶意软件数据库，加 r 可打开检测结果非零文件的报告，加 s 可将未扫描过的文件上传至 VirusTotal（扫描结果可能 5 分钟以上才会显示）；
-vt：使用 VirusTotal 功能前需接受其服务条款，未接受时忽略此参数将触发交互式提示；
-z：指定需要扫描的离线 Windows 系统；
user：指定要查看自启项的用户账户名，输入 * 可扫描系统中所有用户配置文件。