windows的自启动方式



18.2.1
自启动目录

该目录的默认路径为：

C: documents andsettings\用户名\开始菜单\启动

这是最基本、最常用的windows启动方式，主要用于启动一些应用软件的自启动项目，如office
的快捷菜单。一般用户若希望所要启动文件也是通过这里启动，只需把所需文件或其快捷方式放入文件夹中即可。

对应的注册表位置为：

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\shellfolders]startup=”%directory%”

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\usershellfolders]startup=”%directory%”

其中，“%directory%”为启动文件夹位置。开始菜单中的“启动”文件夹是可更改的，如果用户更改了启动文件夹，则以上注册表的键值均会改变为相应的名称。

值得注意的是：开始菜单的“启动”文件夹中的内容在默认情况下虽然可以被用户看的一清二楚，但通过改动还是可以达到隐藏的目的的。

首先，“启动”文件夹中的快捷方式或其他文件的属性可以改变为“隐藏”。这样系统启动时被隐藏的文件就不启动了，等到需要启动的时候又可以通过更改文件属性而恢复启动的作用。

其次，其实“启动”文件夹只是一个普通的文件夹，但是由于系统监视了这个文件夹，所以变得有些特殊，但文件夹有的功能该文件夹也是有的。譬如“启动”文件。另外，“启动”文件夹也可以设置属性、更改名称。如果把属性设为“隐藏”，则在系统的【开始】的【程序】中不显示该文件夹（即使在“文件夹选项”中已经设定了“显示所有文件”）。而系统还会启动这个被隐藏的文件夹中的非隐藏文件。

 

18.2.2系统配置文件启动

1、WIN.INI
启动

[windows]

Load=file1.exe

Run=file2.exe

 

Note:load=与run=的区别在于：通过load=运行文件，文件会在后台运行（最小化）；而通过run=来运行，则文件是在默认状态下被运行的。

2、SYSTEM.INI
启动

默认为：

[boot]

Shell=explorer.exe

 

修改后为：

[boot]

Shell=explorer.exefile.exe

 

Note:

a
与WIN.INI
文件不同的是，SYSYTEM.INI的启动只能启动一个指定文件，不要把shell=explorer.exe
file.exe换为shell=file.exe
，这样会使windows瘫痪。

 

b
这种启动方式提前于注册表启动，所以，如果想限制注册表中文件的启动，可以使用这种方法。

 

3、WININIT.INI
启动

Wininit.ini存在于windows目录下，每次被系统执行完其中的命令时就会被系统自动删除，直到再次出现新的wininit.ini
文件。

Please wait whilesetup updates your configuration files. this may take a few minute…

 

4、AUTOEXEC.BAT
启动

 

18.2.3
注册表启动

1、常规启动

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]”anything”=”file.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservicesonce]”anything”=”file.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]”anything”=”file.exe”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]”anything”=”file.exe”

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]”whatever”=”file.exe”

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]”whatever”=”file.exe”

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]”whatever”=”file.exe”

 

Run和runsercices
的区别在于：run中的程序是在每次系统启动时被启动，runservices则是会在每次登陆系统时被启动。

关于[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]有特殊的语法。

 

 

2、特殊启动
1

[HKEY_CLASSES_ROOT\exefile\shell\open\command]@=”%1”%*

[HKEY_CLASSES_ROOT\comfile\shell\open\command]@=”%1”%*

[HKEY_CLASSES_ROOT\batfile\shell\open\command]@=”%1”%*

[HKEY_CLASSES_ROOT\htafile\shell\open\command]@=”%1”%*

[HKEY_CLASSES_ROOT\piffile\shell\open\command]@=”%1”%*

[HKEY_LOCAL_MACHINE\software\CLASSES\batfile\shell\open\command]@=”%1”%*

[HKEY_LOCAL_MACHINE\software\CLASSES\comfile\shell\open\command]@=”%1”%*

[HKEY_LOCAL_MACHINE\software\CLASSES\exefile\shell\open\command]@=”%1”%*

[HKEY_LOCAL_MACHINE\software\CLASSES\htafile\shell\open\command]@=”%1”%*

[HKEY_LOCAL_MACHINE\software\CLASSES\piffile\shell\open\command]@=”%1”%*

 

从注册表的路径上也许可以看出，这些都是一些经常被执行的可执行文件的键值。有些木马往往通过更改这些键值而达到加载的目的。

如果把
“%1”%*
改为 file.exe”%1”%*
，则文件file.exe就会在每次执行某一种类型的文件时被执行。

 

3、特殊启动
2

在注册表中HKEY_LOCAL_MACHINE\system\currentcontrolsetservices\VxD
的位置上有这样的地址：该地址是系统启动VxD驱动文件的地址，就像prettypark这个蠕虫一样，可以在建立一个主键后把VxD文件添加到注册表中的这个位置。

Note：不可以直接把一个EXE文件改名为VxD
文件，需要另外进行编程来生成VxD文件。

 

18.2.4
其他启动方式

1、屏幕保护启动方式

Windows的屏幕保护程序是一个.scr
文件，这是一个PE格式的可执行文件。如果把屏幕保护程序.scr
更名为.exe
的文件，则该程序仍然可以正常启动。类似的.exe
文件更名为.scr
文件同样可以运行。.scr文件默认在C:\windows
目录下，名字就是在“显示”属性中的“屏幕保护程序”中的名称。在C:\windows
目录下的所有.scr
文件都会被windows
的“屏幕保护程序”显示，而文件路径本身保存在system.ini
中的“SCRNSAVE.EXE=”的这个条目中。

 

屏幕保护程序的启动时间保存在注册表中的下面这个位置上：

HKEY_USERS\DEFAULT\CONTROLPANEL\desktop\screensavetimeout

屏幕保护是否设置密码的键值为（有密码则值为1，没有密码则值为0）

HKEY_USERS\DEFAULT\CONTROLPANEL\desktop\screensaveusepassword

 

2、依附启动

这种方法是利用病毒的传染机制把要启动的病毒文件附着在另外一个或多个EXE文件上，从而达到启动该EXE文件就可以启动病毒文件的目的。

3、计划任务启动方式

4、autorun.inf
启动方式

[autorun]

Open=file.exe

Icon=icon.ico

计算机病毒分析与防范大全(第3版）笔记