windows起步方式总结
日期:2014-05-17 浏览次数:20753 次
首先先说说最简单的查看启动项目的方法吧.[开始]---[运行]---输入:?“Msconfig”,不包括引号---[回车打开]---选择[启
动]---便可查看启动项目.
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这
是Windows?里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病
毒不会采取这样的启动手法.也有个别会.
二.?第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目
录是完全一样的,?只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:\Documents?and?Settings
\User\「开始」菜单\程序\启动
三.?系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方
式启动.
1)WIN.INI启动:
启动位置(xxx.exe为要启动的文件名称):
[windows]?
load=xxx.exe[这种方法文件会在后台运行]
run=xxx.exe[这种方法文件会在默认状态下被运行]
2)SYSTEM.INI
启动:
启动位置(xxx.exe为要启动的文件名称):?
默认为:
[boot]?
Shell=Explorer.exe?[Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
可启动文件后为:
[boot]?
Shell=?Explorer.exe?xxx.exe?[现在许多病毒会采用此启动方
式,随着Explorer启动,?隐蔽性很好]
注意:?SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一
个指定文件,不要把Shell=Explorer.exe?xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!
3)?WININIT.INI
启动:
WinInit即为Windows?Setup?Initialization?Utility,?中文:Windows安装初始化工
具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:?
[rename]?
xxx1=xxx2?
意思是把xxx2文件复制为文件名为xxx1的文件,相当于覆盖xxx1文件
如
果要把某文件删除,则可以用以下命令:
[rename]?
nul=xxx2
以上文件名都必须包含完整路径.
4)?WINSTART.BAT
启动:?????
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
????如:?
“@if?exist?C:\WINDOWS\TEMPxxxx.BAT?call?C:\WINDOWS\TEMPxxxx.BAT”
????这
里是执行xxxx.BAT文件的意思
5)?USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启
动方式,与SYSTEM.INI相同.
6)?AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动
作.?在AUTOEXEC.BAT文件中会包含有恶意代码。如format?c:?/y?等等其它.
四.?注册表启动:
通过
注册表来启动,是WINDOWS中使用最频繁的一种.
-----------------------------------------?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows?NT\CurrentVersion\Winlogon\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\System\ControlSet001\Session?Manager\BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session?Manager\BootExecute
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Group?Policy?Objects\本地User\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser?Helper?Objects\
HKLM\SOFTWARE\Microsoft\Windows?NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows?NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Active?Setup\Installed?Components\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
HKEY_CURRENT_USER\Control?Panel\Desktop
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session?Manager
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows?NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows?NT\CurrentVersion\Windows\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_CURRENT_USER\Software\Microsoft\Windows?NT\CurrentVersion\Windows\load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active?Setup\Installed?Components
HK
