1分钟解救 run 不出来的 Autoruns

BianChengNan

缘起今天，被某些开机自动运行的程序“惹毛”了。打算使用 Autoruns 查看这个进程为什么会开机启动。没想到打开 Autoruns 后，只能在任务栏看到图标，怎么点都点出不来。Autoruns 已经启动了，不然任务栏不会看到图标，到底是什么原因导致的呢？继续阅读前，请回忆下是否遇到过类似的情况，有什么思路吗？

说明：很早就写了初稿，一直没来得及编辑完善，直到周末才编辑完。

捕获事件照例请出我们的老朋友 —— process monitor。开始捕获，然后打开 Autoruns，当任务栏出现 Autoruns 的图标后，停止捕获。通过 Tools -> Process Tree... （或者按 Ctrl + T）查找到 Autoruns，在其上面右键，Add Process to Include Filter，只显示 Autoruns 相关的事件，准备进一步分析。

没想到！？居然一篇空白，什么都没有了！

小意外
process monitor 肯定捕获了对应的事件，但是为什么什么都没有了呢？先检查下过滤条件。


原来，process monitor 默认会过滤掉 Autoruns 相关的事件。关闭这条过滤规则，点击 OK，关于 Autoruns 的事件都出来了。


分析捕获的事件有了，我们就可以继续分析了。我猜测，Autoruns 应该把配置保存到了注册表中，所以排除其它几类事件，只保留注册表相关事件。应该是成功的读取到了某些错误的设置，所以只保留 Reuslt 是 Success 而且 Operation 是 RegQueryValue 的事件。（当然，这是我的猜测。还有可能是没读取到某些关键设置，如果是没读取到，我们应该把 Result 列是 Success 的排除掉。）
一般情况下，很多程序会把对应的设置保存到 HKCU 下，而不是 HKLM。因为写入 HKLM 需要管理员权限，读取不用。所以我们还可以排除  Path  以 HKLM 开头的记录。
做好过滤后，往下浏览下，发现了四个跟位置有关的参数。


发现，其中的 ypos 的值很奇怪，删除后重新启动 Autoruns 即可正常显示了。整个过程请参考下面的屏幕录像。

友情提示：
Autoruns 在关闭的时候会保存相关配置到注册表，所以需要先关闭 Autoruns，再做修改操作。

回顾在公司的时候，接过外接显示器。应该是 Autoruns 上次退出的时候的位置正在外接显示器，保存的位置是相对于外接显示器的位置。本次启动后，依然想在外接显示器中显示。但是，外接显示器已经没有了，所以不能正常显示出来。make sense！

总结

• Autoruns 会保存相关设置到注册表中，对应的注册表位置是HKCU\Software\Sysinternals\AutoRuns。
• 猜想其它 Sysinternals 工具也会把设置保存到 HKCU\Software\Sysinternals\ 下面。
• process monitor 默认会过滤一些事件，其中就包括 Autoruns 相关的事件。
• process monitor 真的是排错的神兵利器。但是一定要用好过滤才行。否则就是大海捞针！