缘起

今天，被某些开机自动运行的程序“惹毛”了。打算使用 Autoruns 查看这个进程为什么会开机启动。没想到打开 Autoruns 后，只能在任务栏看到图标，怎么点都点出不来。Autoruns 已经启动了，不然任务栏不会看到图标，到底是什么原因导致的呢？继续阅读前，请回忆下是否遇到过类似的情况，有什么思路吗？

说明： 很早就写了初稿，一直没来得及编辑完善，直到周末才编辑完。

捕获事件

照例请出我们的老朋友 —— process monitor。开始捕获，然后打开 Autoruns，当任务栏出现 Autoruns 的图标后，停止捕获。通过 Tools -> Process Tree... （或者按 Ctrl + T）查找到 Autoruns，在其上面右键，Add Process to Include Filter，只显示 Autoruns 相关的事件，准备进一步分析。

add-autoruns-to-include-filter

<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">add-autoruns-to-include-filter</figcaption>

没想到！？居然一篇空白，什么都没有了！

小意外

process-monitor-filter-empty

<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">process-monitor-filter-empty</figcaption>

process monitor 肯定捕获了对应的事件，但是为什么什么都没有了呢？先检查下过滤条件。

process-monitor-filter-autoruns-excluded-by-default

<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">process-monitor-filter-autoruns-excluded-by-default</figcaption>

原来，process monitor 默认会过滤掉 Autoruns 相关的事件。关闭这条过滤规则，点击 OK，关于 Autoruns 的事件都出来了。

autoruns-events-show-up

<figcaption style="margin-top: 5px; text-align: center; color: #888; font-size: 14px;">autoruns-events-show-up</figcaption>

分析

捕获的事件有了，我们就可以继续分析了。我猜测，Autoruns 应该把配置保存到了注册表中，所以排除其它几类事件，只保留注册表相关事件。应该是成功的读取到了某些错误的设置，所以只保留 Reuslt 是 Success 而且 Operation 是 RegQueryValue 的事件。（当然，这是我的猜测。还有可能是没读取到某些关键设置，如果是没读取到，我们应该把 Result 列是 Success 的排除掉。）

一般情况下，很多程序会把对应的设置保存到 HKCU 下，而不是 HKLM。因为写入 HKLM 需要管理员权限，读取不用。所以我们还可以排除 Path 以 HKLM 开头的记录。

做好过滤后，往下浏览下，发现了四个跟位置有关的参数。