自启动管理 · Autoruns for Linux

它解决什么问题

Linux 上能让程序"开机/登录就自动跑"的地方，远不止 systemd 一处：cron、定时器、登录脚本、桌面自启、udev 规则、PAM 钩子、SSH 强制命令、sudoers、polkit、各种软件包钩子……足有几十种。恶意软件和后门最爱藏在这些不常被检查的角落里实现持久化，靠人工一处处翻几乎不可能查全。

自启动管理把这些自动运行入口一网打尽、集中呈现：每一项从哪来、由谁安装、是否可信，一目了然；可疑、未归属任何软件包的条目会被醒目标出——一眼锁定该重点排查的对象，并能安全地将其禁用或删除。

典型场景：入侵后持久化排查（威胁狩猎）、系统加固与基线核查、应急响应取证、开机变慢溯源、合规审计、安全教学演示。

核心能力

覆盖数十种自启动机制

从常见的服务与计划任务，到容易被忽视的内核、桌面、特权与远程持久化点，全面枚举：

️ 一眼识别可信与可疑

每个条目都标注：是否已启用、命令与镜像路径、归属软件包（相当于 Linux 上的"发布者"）、时间戳与哈希值。不属于任何软件包的条目会被高亮——这正是排查时最该关注的目标，可疑项还按高/中/低严重性以彩色徽章区分。

????️ 安全地禁用与清除

可直接禁用或删除任意条目，改动前自动备份、支持撤销，并经系统的提权确认（polkit）执行。可一键跳转到定义该条目的源文件、复制路径或哈希、在线核查文件信誉。

经典 Autoruns 风格界面

熟悉的分页多列表格：按类别分页并实时计数、类别图标、彩色严重性徽章、行内启用/禁用/删除、右键菜单、双击查看完整属性、状态栏统计、列表搜索与一键重扫。深色模式与中英双语随手切换。

快照对比，持续威胁狩猎

可把当前自启动状态导出为快照，日后再次扫描时对比差异——新增了哪些自动运行项一目了然，非常适合定期基线核查与入侵痕迹发现。事件/视图也可导出便于归档分析。

???? 图形界面与命令行兼备

既有面向日常使用的图形界面，也有适合脚本化、自动化与服务器环境的命令行工具：支持只列可疑项、输出结构化数据、对挂载的离线文件系统做取证分析等。

技术实现（简述）

• 原生实现 —— 采用 Rust 编写，图形界面基于 GTK4 / libadwaita，贴合现代 Linux 桌面；命令行与图形界面共享同一套枚举引擎，结果一致。
• 可扩展的采集引擎 —— 每一类自启动机制由独立的采集模块负责，覆盖面可持续扩展；信任判定与快照对比内建于引擎中。
• 最小特权设计 —— 图形界面永不以 root 运行；所有变更类操作都交由一个独立的提权助手，经系统标准的授权确认（polkit）按需执行，做到"日常浏览零特权、动手才提权"。
• 离线/取证友好 —— 除分析当前运行的系统外，也能针对挂载到某个目录的文件系统进行分析，适用于应急取证场景。

上述为面向使用者的概述；更详尽的工程细节随源码一同提供。

为什么选它

系统要求

• 较新的 Linux 桌面环境（X11 或 Wayland 均可）
• 日常浏览以普通用户身份即可；禁用/删除等变更操作会按需弹出系统提权确认

⚠️ 使用须知

本工具可禁用或删除系统自启动项，误操作可能影响系统或服务的正常启动。改动均会自动备份并支持撤销，但仍请仅在获得授权的、可信的主机上使用，重要变更前先行核对、必要时在非生产环境验证。它面向安全审查与运维管理等合法用途。

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。