Windows自动启动归纳:
一、Run键值实现
1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
2. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
二、通过自启动项
1. X:/Documents and Settings/pdw/「开始」菜单/程序/启动
2. X:/Documents and Settings/All Users/「开始」菜单/程序/启动
X:表系统盘
三、通过系统配置文件实现自启动
1. win.ini(c:/windows[/winnt]/.........)
启动位置(xxx.exe为要启动的文件名称):
[windows]
load=xxx.exe[这种方法文件会在后台运行]
run=xxx.exe[这种方法文件会在默认状态下被运行]
2. system.ini
启动位置(xxx.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe
可启动文件后为:
[boot]
Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!
3. wininit.ini
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
[rename]
xxx1=xxx2
意思是把xxx2文件复制为文件名为xxx1的文件,相当于覆盖xxx1文件
如果要把某文件删除,则可以用以下命令:
[rename]
nul=xxx2
以上文件名都必须包含完整路径.
4. winstart.bat
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:/WINDOWS/TEMPxxxx.BAT call C:/WINDOWS/TEMPxxxx.BAT”
这里是执行xxxx.BAT文件的意思
5. userinit.ini
与system.ini相同
6. autoexec.bat
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
四、通过注册表键启动
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
HKEY_LOCAL_MACHINE/System/ControlSet001/Session Manager/BootExecute
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager/BootExecute
HKEY_CURRENT_USER /Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/username/ Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/
HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Run/
HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/
HKEY_CURRENT_USER/Control Panel/Desktop
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Session Manager
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad/
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/load
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKLM/SOFTWARE/Classes/Protocols/Filter
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
HKLM/Software/Classes/Folder/Shellex/ColumnHandlers
HKCU/Software/Microsoft/Internet Explorer/UrlSearchHooks
HKLM/Software/Microsoft/Internet Explorer/Toolbar
HKLM/Software/Microsoft/Internet Explorer/Extensions
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/System/CurrentControlSet/Control/Session Manager/KnownDlls
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHost
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKCU/Control Panel/Desktop/Scrnsave.exe
HKLM/System/CurrentControlSet/Services/WinSock/Parameters/Protocol_Catalog9
HKLM/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Authentication Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Notification Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Security Packages
五、其他自启动方式
(1).C:/Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
(1).搜索当前目录.
(2).如果没有搜索到Explorer.exe则系统会获取
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]的信息获得相对路径.
(3).如果还是没有文件系统则会获取[HKEY_CURRENT_USER/Environment/Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE /SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]和 [HKEY_CURRENT_USER/Environment/Path]所保存的相对路径的键值为:“%SystemRoot%System32;% SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
(1).%SystemDrive%(例如C:/)
(2).%SystemRoot%System32(例如C:/WINNT/SYSTEM32)
(3).%SystemRoot%(例如C:/WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% xxxx.scr
这种启动方式具有一定危险.
(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=文件名.exe
ICON=icon(图标文件).ico
1.如一个木马,为xxx.exe.那么Autorun.inf则可以如下:
OPEN=Windows/xxx.exe
ICON=xxx.exe
这时,每次双击C盘的时候就可以运行木马xxx.exe.
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:/xxx.exe
ICON=xxx.exe
这时,双击C盘则可以运行D盘的xxx.exe
六、通过服务实现自启动
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
七、通过驱动实现自启动
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
八、通过Vxd虚拟设备驱动实现自启动
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
一、Run键值实现
1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
2. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
二、通过自启动项
1. X:/Documents and Settings/pdw/「开始」菜单/程序/启动
2. X:/Documents and Settings/All Users/「开始」菜单/程序/启动
X:表系统盘
三、通过系统配置文件实现自启动
1. win.ini(c:/windows[/winnt]/.........)
启动位置(xxx.exe为要启动的文件名称):
[windows]
load=xxx.exe[这种方法文件会在后台运行]
run=xxx.exe[这种方法文件会在默认状态下被运行]
2. system.ini
启动位置(xxx.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe
可启动文件后为:
[boot]
Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!
3. wininit.ini
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
[rename]
xxx1=xxx2
意思是把xxx2文件复制为文件名为xxx1的文件,相当于覆盖xxx1文件
如果要把某文件删除,则可以用以下命令:
[rename]
nul=xxx2
以上文件名都必须包含完整路径.
4. winstart.bat
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:/WINDOWS/TEMPxxxx.BAT call C:/WINDOWS/TEMPxxxx.BAT”
这里是执行xxxx.BAT文件的意思
5. userinit.ini
与system.ini相同
6. autoexec.bat
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
四、通过注册表键启动
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
HKEY_LOCAL_MACHINE/System/ControlSet001/Session Manager/BootExecute
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager/BootExecute
HKEY_CURRENT_USER /Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/username/ Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/
HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Run/
HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/
HKEY_CURRENT_USER/Control Panel/Desktop
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Session Manager
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad/
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/load
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKLM/SOFTWARE/Classes/Protocols/Filter
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
HKLM/Software/Classes/Folder/Shellex/ColumnHandlers
HKCU/Software/Microsoft/Internet Explorer/UrlSearchHooks
HKLM/Software/Microsoft/Internet Explorer/Toolbar
HKLM/Software/Microsoft/Internet Explorer/Extensions
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/System/CurrentControlSet/Control/Session Manager/KnownDlls
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHost
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKCU/Control Panel/Desktop/Scrnsave.exe
HKLM/System/CurrentControlSet/Services/WinSock/Parameters/Protocol_Catalog9
HKLM/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Authentication Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Notification Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Security Packages
五、其他自启动方式
(1).C:/Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
(1).搜索当前目录.
(2).如果没有搜索到Explorer.exe则系统会获取
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]的信息获得相对路径.
(3).如果还是没有文件系统则会获取[HKEY_CURRENT_USER/Environment/Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE /SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]和 [HKEY_CURRENT_USER/Environment/Path]所保存的相对路径的键值为:“%SystemRoot%System32;% SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
(1).%SystemDrive%(例如C:/)
(2).%SystemRoot%System32(例如C:/WINNT/SYSTEM32)
(3).%SystemRoot%(例如C:/WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% xxxx.scr
这种启动方式具有一定危险.
(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=文件名.exe
ICON=icon(图标文件).ico
1.如一个木马,为xxx.exe.那么Autorun.inf则可以如下:
OPEN=Windows/xxx.exe
ICON=xxx.exe
这时,每次双击C盘的时候就可以运行木马xxx.exe.
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:/xxx.exe
ICON=xxx.exe
这时,双击C盘则可以运行D盘的xxx.exe
六、通过服务实现自启动
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
七、通过驱动实现自启动
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
八、通过Vxd虚拟设备驱动实现自启动
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.