科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Windows启动方式总结归纳

Windows启动方式总结归纳

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

开始---程序---启动,里面添加一些应用程序或者快捷方式. 这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.

作者:zdnet安全频道 来源:论坛整理 2008年6月12日

关键字: 病毒 启动方式 注册表 Windows

  • 评论
  • 分享微博
  • 分享邮件

Windows启动方式总结归纳&病毒常修改的注册表位置

一.自启动项目: {>]h*)% $  
开始---程序---启动,里面添加一些应用程序或者快捷方式.
* `?y  
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
SKf{YMH>  
路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动
u+(=2BQ  
gtT[z:9VA  
二. 第二自启动项目:
H}Uhqh  
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
F=rN. ^$k  
路径:
^t[@"(9R  
C:\Documents and Settings\User\「开始」菜单\程序\启动
NN;Z-  
@(uT`_f}  
三. 系统配置文件启动:
3LXE|T?$  
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
qpJDlkQ G  
lg=SFZV2n  
1)WIN.INI启动:
a>448o5  
启动位置(*.exe为要启动的文件名称):
]&cW y;L  
  [windows]
&~cK.D [  
  load=*.exe[这种方法文件会在后台运行]
No/E{p   
run=*.exe[这种方法文件会在默认状态下被运行]
%5f3  
y9EBH4,r  
2)SYSTEM.INI启动:
:j2 <!T>s  
启动位置(*.exe为要启动的文件名称):
$)zW0oa  
  默认为:
=$ E T  
  [boot]
fv==I@ht,  
  Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
*N-A S0  
  可启动文件后为:
4"nOoDt  
  [boot]
5u 9-,  
  Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
wD-]fEt\z  
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!
k/bqGHYb  
`tCvX>>X  
3) WININIT.INI启动:
%[,p_30WO  
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
(%+ChNV  
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
9mI1+zN%  
文件格式:
T0~3v0  
  [rename]
F`f&]"  
  *=*2
K3-xPtv  
  意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
CTeZYjD?  
如果要把某文件删除,则可以用以下命令:
!|0_/-[  
[rename]
&rk(QP])R  
  nul=*2
<j n  
以上文件名都必须包含完整路径.
''s6O''pA  
%li*''JE  
4) WINSTART.BAT启动:    
#}4h&} q  
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
Z;\A iG*  
    如:
+OGu*JtM  
  “@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”
C [?E`h%  
    这里是执行*.BAT文件的意思
8A?ktQxJ  
mD0d1rv @  
5) USERINIT.INI启动[2/2补充]:
[Q2-`q.#  
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
v&$U"! f  
v=E~mSu  
6) AUTOEXEC.BAT启动:
k2& (-@  
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
FMs:XRfpX[  
H[c*wz xb  
四. 注册表启动:(2006.10.3整理更新
F''T;E O  
通过注册表来启动,是WINDOWS中使用最频繁的一种.
X +i?mWNp  
-----------------------------------------------------------------------------------------------------------------
4<c, 82Zy  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
ql!M]F:X+  
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
<WP<&Ufj  
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
w" R"W@)  
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
MBI3~A  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
QGr`Vya  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
GY]!oGP  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
)^n% 3$''f  
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
7uz)um  
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
2-ECq(jMk  
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
de4M|s  
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
k"X7{  
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
4Ji=xp3a=  
HKLM\System\CurrentControlSet\Services\VxD\
8fpF.JzRm  
HKCU\Control Panel\Desktop
OQrl6#  
HKLM\System\CurrentControlSet\Services\
3J+X/#  
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
&* -^VJ  
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
KvvAfua8  
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
3"6G; C]  
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
/* F.){\#  
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
W}oeCxVH  
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
@#tdSD^`M  
HKLM\SOFTWARE\Classes\Protocols\Filter
Azy*=C t  
HKLM\SOFTWARE\Classes\Protocols\Handler
qd2x1v  
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
X* !|6`s  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
0+1]!d&  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
=]<RK,nr  
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
6`a5TNT  
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
#`""Y& ?O  
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
IJoS E0w  
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
 v{6 @  
HKLM\Software\Microsoft\Internet Explorer\Toolbar
,e q6#  
HKLM\Software\Microsoft\Internet Explorer\Extensions
<{ B EI(  
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
`hS%J<  
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
V ]U umCD|  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
e[H@ I?  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
[KV>F-T~  
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
XL^GJWf/  
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
2FIEza30  
HKCU\ftp\shell\open\command
)GH?n%]  
HKCR\ftp\shell\open\command
3F( G k  
HKCU\Software\Microsoft\ole
c`RQNWgF  
HKCU\Software\Microsoft\Command Processor
z+2gY_j  
HKLM\SOFTWARE\Classes\mailto\shell\open\command
ZGVb9)S{  
HKCR\PROTOCOLS
k`$q+{o%  
HKCU\Control Panel\Desktop
0iTa8bz3  
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
a|_Dfp  
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
{{g|g~RV  
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
))Tq ''Cs  
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
lRQ@MNv]%  
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
q^?Bx<J  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
5y{) xd  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
:cZR- U/  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
:LrW.  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
>6reU3d  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
v TQF~I:  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
JWw ni&Gt  
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
[/P/  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
[oZ''/BFU  
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
C_$=|/{O`  
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
{^ZZ{F%9|  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
G>.ZlRwy  
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
3:MY   
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
vx!Ll%I1  
HKLM\SOFTWARE\Classes\Protocols\Handler
G~317:goy  
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
u*Ne (  
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
/9jHC =^(  
HKLM\Software\Microsoft\Command Processor
uGrBR  
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
R)s0E:K  
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility\Utility Manager registry
@Xk''ZNp  
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders
3#^}G  
?:kVk=qnn  
添加一些病毒经常会修改的地方[07.1.17]:
g\<7G_N<  
HKLM\SOFTWARE\Microsoft\Ras
&fmcUfOwk  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
/]( W|  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
XelsHNBwH  
HKCU\Software\Microsoft\Security Center
3wMyzp76  
HKLM\Software\Microsoft\Security Center
o iY yf  
HKLM\SOFTWARE\Microsoft\Netcache
yTkZ89}VK  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
n~Uo JHis  
HKCU\Software\Microsoft\Internet explorer\Main\\*page
<b e8>sM`e  
HKCU\Software\Microsoft\Internet explorer\Main\\Enable Browser Extensions
5@EZ!(x  
HKCU\Software\Microsoft\Internet explorer\Main\Featurecontrol
O@$&0@  
HKCU\Software\Microsoft\Internet explorer\Menuext
Y3M=fQR  
HKCU\Software\Microsoft\Internet explorer\Styles
>fbX_smp|x  
HKLM\Software\Clients\Startmenuinternet
o;E_Ua5 )  
HKLM\Software\Microsoft\Code store database\Distribution units
?bif"''5O:  
HKCU\Software\Microsoft\Internet explorer\Abouturls
j%t{=ka]N  
HKLM\Software\Microsoft\Internet explorer\Activex compatibility
`TY s8^D  
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
EA]B>.TpK  
HKLM\Software\Microsoft\Internet explorer\Main\\*page
[Y!R!@k7  
HKLM\Software\Microsoft\Internet explorer\Styles
!v !Pyf  
HKLM\Software\Microsoft\Internet explorer\Menuext
Rv8A$b  
HKLM\Software\Microsoft\Internet explorer\Plugins
x)ph@(@  
HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Browser helpr objects
2+ 5K\$o  
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\*zones
E<+l6V<  
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Safesites
C{P,3;iB*  
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Url
~''ZXC(` U  
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Protocoldefaults
Mb/yZU3H  
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Domains
).?$ |%?  
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges
qqJ#"2(=&  
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
*-YJ*<_ b  
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
$Kh7/t@  
HKLM\System\CurrentControlSet\Control\ServiceGroupOrder
yfdeGr) Y  
HKLM\SYSTEM\CurrentControlSet\Control\GroupOrderList
F- j 9|u  
HKLM\SYSTEM\ControlSet*\Control\SafeBoot
&U# 8c  
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
Gu#XlS*I  
6f@3O$  
8b;{n$QfV  
五.其他启动方式:
S>(0MU|l  
(1).C:\Explorer.exe启动方式:
$\A;`7`6  
这种启动方式很少人知道.
BxE \&Ch  
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
fcm!Tn0#  
  搜索顺序如下:
+]G&+6d  
  (1).  搜索当前目录.
fyh;r&0k  
  (2).  如果没有搜索到Explorer.exe则系统会获取
NErW>n{.,  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.
pt6l^Hk  
  (3).  如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
) NmiWZ   
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
*6/&Vh  
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
% ]k:e*,  
  (1).  %SystemDrive%(例如C:\)
rNj . &Z?  
  (2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
]Aiw.s:H^  
  (3).  %SystemRoot%(例如C:\WINNT)
_''CwD1NTi  
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
7 >-} Y'':  
  在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
,~Ork>}@e  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
J{H6nztM  
5KFt">  
(2).屏幕保护启动方式:
$8%aQz 0S  
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
*R#Z)M:w]r  
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
?x*C1-w:  
这种启动方式具有一定危险.
` gVGCA+j  
[r o4-Fp  
(3).计划任务启动方式:
:m{=E _  
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
RhYQtNS  
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
>B-24  
/''?_Rq  
(4).AutoRun.inf的启动方式:
.;lgJR 9  
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
(MuS[Q]gp  
Autorun.inf的内容通常是:
Q|%51v @  
  [AUTORUN]
/,yy}$?  
  OPEN=*.exe
>~kVAC;  
  ICON=icon(图标文件).ico
M5Q1Slp]W  
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
TZ+x^4c  
OPEN=Windows\*.exe
/ {+]S?  
ICON=*.exe
( 7 o  
这时,每次双击C盘的时候就可以运行*.exe.
OmH 1}]_K9  
 :bdh)7  
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
\ <p&FD  
OPEN=D:\*.exe
( :Sc*Wf  
ICON=*.exe
w eh''KWH  
这时,双击C盘则可以运行D盘的*.exe
{Uo+=-;  
hvr$X6   
(5).更改扩展名启动方式:
9J+#D  
更改扩展名:(*.exe)
pNg7*}  
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.
6Fw|Q>d+S  
`''5O w$~  
六.Vxd虚拟设备驱动启动方式:
e_f2:!11w  
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
%q: P<V2X  
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
55ayxdH  
v\$7{  
七.Service[服务]启动方式:
* ~tge8HC@  
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
aN<HwzPF  
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
#$u_INs)   
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
O:62Ji5  
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.
5rgIWh\  
7oE~T:8  
八.驱动程序启动方式:
Q[&9(JgA  
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
!YK Qai  
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
r.]=m~H  
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
4''-6w>~e  
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
@o5 3\]  
8JhDN=M  
06/3/11补充[来自peter_yu]:
g 1") ]  
windir\Start Menu\Programs\Startup\
_Mpyl''ChR  
User\Startup\
o3xkD4,Y  
All Users\Startup\
H(~ @p_  
windir\system\iosubsys\
=@6ET{ #m  
windir\system\vmm32\
I{F 1q7  
windir\Tasks\
VeCSB3=  
[o&=W&ri  
c:\explorer.exe
Q ;`Xlc}+  
c:\autoexec.bat
zr4:J\,J_|  
c:\config.sys
R>5iF~  
windir\wininit.ini
B\F x<Me2  
windir\winstart.bat
0p::eH3vm  
windir\win.ini - [windows] "load"
{:)EWH]`r  
windir\win.ini - [windows] "run"
2 N F)i  
windir\system.ini - [boot] "shell"
n5oieR  
windir\system.ini - [boot] "scrnsave.exe"
T 4kJ~QJ  
windir\dosstart.bat
wWy [fyq  
windir\system\autoexec.nt
*:ay@lfTp  
windir\system\config.nt

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章