indows 啟動(dòng)方式總結(jié)
開始–運(yùn)行–Msconfig 查看啟動(dòng)項(xiàng)目
一.自啟動(dòng)項(xiàng)目:
開始—程序—啟動(dòng),里面添加一些應(yīng)用程序或者快捷方式.
這是Windows 里面最常見,以及應(yīng)用最簡(jiǎn)單的啟動(dòng)方式,如果想一些文件開機(jī)時(shí)候啟動(dòng),那么也可以將他拖入里面或者建立快捷方式拖入里面.現(xiàn)在一般的病毒不會(huì)采取這樣的啟動(dòng)手法.也有個(gè)別會(huì).
二. 第二自啟動(dòng)項(xiàng)目:
這個(gè)是很明顯卻易被忽略的一個(gè),使用方法和第一自啟動(dòng)目錄是完全一樣的, 只要找到該目錄，將所需要啟動(dòng)的文件拖放進(jìn)去就可以達(dá)到啟動(dòng)的目的.
路徑: C:\Documents and Settings\User\「開始」菜單\程序\啟動(dòng)
三. 系統(tǒng)配置文件啟動(dòng):
許多病毒都是以這種方式啟動(dòng).
1)WIN.INI啟動(dòng):
啟動(dòng)位置(xxx.exe為要啟動(dòng)的文件名稱):
　　[windows]
　　load=xxx.exe[這種方法文件會(huì)在后臺(tái)運(yùn)行
run=xxx.exe[這種方法文件會(huì)在默認(rèn)狀態(tài)下被運(yùn)行
2)SYSTEM.INI啟動(dòng):
啟動(dòng)位置(xxx.exe為要啟動(dòng)的文件名稱)：
　　默認(rèn)為:
　　[boot]
　　Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows資源管理器,屬于正常
　　可啟動(dòng)文件后為:
　　[boot] 
　　Shell=Explorer.exe xxx.exe [現(xiàn)在許多病毒會(huì)采用此啟動(dòng)方式,隨著Explorer啟動(dòng), 隱蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的啟動(dòng)只能啟動(dòng)一個(gè)指定文件,不要把Shell=Explorer.exe xxx.exe換為Shell=xxx.exe,
這樣會(huì)使Windows癱瘓!！！
3) WININIT.INI啟動(dòng):
WinInit即為Windows Setup Initialization Utility, 中文:Windows安裝初始化工具.
它會(huì)在系統(tǒng)裝載Windows之前讓系統(tǒng)執(zhí)行一些命令，包括復(fù)制，刪除，重命名等，以完成更新文件的目的.
文件格式:
　　[rename]
　　xxx1=xxx2
　　意思是把xxx2文件復(fù)制為文件名為xxx1的文件，相當(dāng)于覆蓋xxx1文件
如果要把某文件刪除,則可以用以下命令:
[rename]
　　nul=xxx2
以上文件名都必須包含完整路徑.
4) WINSTART.BAT啟動(dòng):
這是系統(tǒng)啟動(dòng)的批處理文件,主要用來復(fù)制和刪除文件.如一些軟件卸載后會(huì)剩余一些殘留物在系統(tǒng),這時(shí)它的作用就來了.
如：
　　“@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”
這里是執(zhí)行xxxx.BAT文件的意思
5) USERINIT.INI啟動(dòng)[2/2補(bǔ)充]:
這種啟動(dòng)方式也會(huì)被一些病毒作為啟動(dòng)方式,與SYSTEM.INI相同.
6) AUTOEXEC.BAT啟動(dòng):
這個(gè)是常用的啟動(dòng)方式.病毒會(huì)通過它來做一些動(dòng)作. 在AUTOEXEC.BAT文件中會(huì)包含有惡意代碼。如format c: /y 等等其它.
四. 注冊(cè)表啟動(dòng):
通過注冊(cè)表來啟動(dòng),是WINDOWS中使用最頻繁的一種.
—————————————————————————————————————–
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
HKEY_CURRENT_USER\Control Panel\Desktop
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
五.其他啟動(dòng)方式:
(1).C:\Explorer.exe啟動(dòng)方式:
在Win9X下,由于SYSTEM.INI只指定了Windows的外殼文件Explorer.exe的名稱,而并沒有指定絕對(duì)路徑,所以Win9X會(huì)搜索Explorer.exe文件.
搜索順序如下：
　　(1).　　搜索當(dāng)前目錄.
　　(2).　　如果沒有搜索到Explorer.exe則系統(tǒng)會(huì)獲取
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息獲得相對(duì)路徑.
　　(3).　　如果還是沒有文件系統(tǒng)則會(huì)獲取[HKEY_CURRENT_USER\Environment\Path]的信息獲得相對(duì)路徑.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相對(duì)路徑的鍵值為:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于當(dāng)系統(tǒng)啟動(dòng)時(shí),“當(dāng)前目錄”肯定是%SystemDrive%(系統(tǒng)驅(qū)動(dòng)器),這樣系統(tǒng)搜索Explorer.EXE的順序應(yīng)該是:
　　(1).　　%SystemDrive%(例如C:\)
　　(2).　　%SystemRoot%System32(例如C:\WINNT\SYSTEM32)
　　(3).　　%SystemRoot%(例如C:\WINNT)
此時(shí),如果把一個(gè)名為Explorer.EXE的文件放到系統(tǒng)根目錄下,這樣在每次啟動(dòng)的時(shí)候系統(tǒng)就會(huì)自動(dòng)先啟動(dòng)根目錄下的Explorer.exe而不啟動(dòng)Windows目錄下的Explorer.exe了.
　　在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系統(tǒng)啟動(dòng)時(shí)要使用的外殼文件(Explorer.exe)的名稱放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微軟已經(jīng)更改了這一方式.
(2).屏幕保護(hù)啟動(dòng)方式:
Windows 屏幕保護(hù)程序是一個(gè)*.scr文件,是一個(gè)可執(zhí)行PE文件,如果把屏幕保護(hù)程序*.scr重命名為*.exe的文件,這個(gè)程序仍然可以正常啟
動(dòng),類似的*.exe文件更名為*.scr文件也仍然可以正常啟動(dòng).
文件路徑保存在System.ini中的SCRNSAVE.EXE=的這條中.如: SCANSAVE.EXE=/%system32% xxxx.scr
這種啟動(dòng)方式具有一定危險(xiǎn).
(3).計(jì)劃任務(wù)啟動(dòng)方式:
Windows 的計(jì)劃任務(wù)功能是指某個(gè)程序在某個(gè)特指時(shí)間啟動(dòng).這種啟動(dòng)方式隱蔽性相當(dāng)不錯(cuò).
[開始]—[程序]—[附件]—[系統(tǒng)工具]—[計(jì)劃任務(wù)],按照一步步順序操作即可.
(4).AutoRun.inf的啟動(dòng)方式:
Autorun.inf這個(gè)文件出現(xiàn)于光盤加載的時(shí)候,放入光盤時(shí),光驅(qū)會(huì)根據(jù)這個(gè)文件內(nèi)容來確定是否打開光盤里面的內(nèi)容.
Autorun.inf的內(nèi)容通常是：
　　[AUTORUN]
　　OPEN=文件名.exe
　　ICON=icon(圖標(biāo)文件).ico
1.如一個(gè)木馬,為xxx.exe.那么Autorun.inf則可以如下:
OPEN=Windows\xxx.exe M,
ICON=xxx.exe
這時(shí),每次雙擊C盤的時(shí)候就可以運(yùn)行木馬xxx.exe.
2.如把Autorun.inf放入C盤根目錄里,則里面內(nèi)容為:
OPEN=D:\xxx.exe
ICON=xxx.exe
這時(shí),雙擊C盤則可以運(yùn)行D盤的xxx.exe
(5).更改擴(kuò)展名啟動(dòng)方式:
更改擴(kuò)展名:(*.exe)
如:*.exe的文件可以改為:*.bat,*.scr等擴(kuò)展名來啟動(dòng).
六.Vxd虛擬設(shè)備驅(qū)動(dòng)啟動(dòng)方式: )
應(yīng)用程序通過動(dòng)態(tài)加載的VXD虛擬設(shè)備驅(qū)動(dòng),而去的Windows 9X系統(tǒng)的操控權(quán)(VXD虛擬設(shè)備驅(qū)動(dòng)只適用于Windows 95/98/Me).
可以用來管理例如硬件設(shè)備或者已安裝軟件等系統(tǒng)資源的32位可執(zhí)行程序，使得幾個(gè)應(yīng)用程序可以同時(shí)使用這些資源.
七.Service[服務(wù)]啟動(dòng)方式:
[開始]—[運(yùn)行]—輸入”services.msc”,不帶引號(hào)—即可對(duì)服務(wù)項(xiàng)目的操作.
在“服務(wù)啟動(dòng)方式”選項(xiàng)下,可以設(shè)置系統(tǒng)的啟動(dòng)方式:程序開始時(shí)自動(dòng)運(yùn)行,還是手動(dòng)運(yùn)行,或者永久停止啟動(dòng),或者暫停(重新啟動(dòng)后依舊會(huì)啟動(dòng)).
注冊(cè)表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通過服務(wù)來啟動(dòng)的程序,都是在后臺(tái)運(yùn)行,例如國產(chǎn)木馬”灰鴿子”就是利用此啟動(dòng)方式來達(dá)到后臺(tái)啟動(dòng),竊取用戶信息.
八.驅(qū)動(dòng)程序啟動(dòng)方式:
有些病毒會(huì)偽裝成硬件的驅(qū)動(dòng)程序,從而達(dá)到啟動(dòng)的目的.
1.系統(tǒng)自帶的驅(qū)動(dòng)程序.[指直接使用操作系統(tǒng)自帶的標(biāo)準(zhǔn)程序來啟動(dòng)
2.硬件自帶的驅(qū)動(dòng)程序.[指使用硬件自帶的標(biāo)準(zhǔn)程序來啟動(dòng)
3.病毒本身偽裝的驅(qū)動(dòng)程序.[指病毒本身偽裝的標(biāo)準(zhǔn)程序來啟動(dòng)
其他位置
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\
c:\explorer.exe
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini – [windows] “l(fā)oad”
windir\win.ini – [windows] “run”
windir\system.ini – [boot] “shell”
windir\system.ini – [boot] “scrnsave.exe”
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt