包含自启动系统windows的词条-成都快上网建站

包含自启动系统windows的词条

Windows中的自动启动项(自动启动的多种方式)二

一: 注册表相关

创新互联长期为成百上千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为上党企业提供专业的成都网站建设、成都网站设计,上党网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。

===============================================

有部分程序可以将自身在注册表加载的位置进行隐藏,常见的操作有两种方式:

1、对指定的注册表分支、键值设置权限(Acls)导致当前用户无权查看这些分支、键值的内容,自然无法获取病毒信息了。

2、使用超长的分支、键值名字,让注册表程序无法正常显示这些内容。

在XP/2K中存在一个长字符串缺陷:

有部分恶意程序还能破坏注册表某些键值的设定工作,比如将正常的REG_DWORD键值删除,伪造一个图标样式(键值显示有两种图标)的不是REG_DWORD的键值,这样原来的设置就不能读到正确格式的键值,也就不能正常工作了。

==================================

1、Load注册键

介绍该注册键的资料不多,实际上它也能够自动启动程序,位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Current Version\Windows

建一个字符串名为load键值,为自启动程序的路径但是要注意短文件名规则,如c:\program files 应为c:\progra~1,这种方式用优化大师看不到。

据说建立run=键值也是可行的,需要注意没有测试过。

其实应该是windows.ini,和system.ini两个文件对应的run。不过好像在98有用把,具体就不多累赘,

至今没发现过这类病毒加载到这里面的,估计是没什么用处吧,不过提下也无妨。

2、Winlogon\Userinit注册键

存放位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

找到“Userinit”这个键值,这个键值默认为c:\WINNT\system32\userinit.exe,后面加逗号,再加路径。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,vitas.exe”(不含引号)。

注意下面的Notify、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。

3、Explorer\Run注册键

和load、Userinit不同,Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。

------------------------------

(下面4--7其实也很常见了,不过提出来,因为部分管理员还是会忽视这几个地方的。)

4、RunServicesOnce注册键

RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序,RunServicesOnce注册键的位置是:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。

5、RunServices注册键

RunServices指定的程序紧接RunServicesOnce指定的程序后运行,两者都在用户登录之前,位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRunServices;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。

6、RunOnceSetup注册键

RunOnceSetup指定了用户登录之后运行的程序,它的位置是:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup。

7、RunOnce注册键

安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。

HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时间在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。

--------------------------------------------------

==================

==================

(下面这里强调一点 应该是最容易忽视的,很多杀软是查不出的)

9、Image File Execution Options下的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的注册表项,项名为A.exe(A这里是通配符,下面B一样,就是对应你的应用程序名字,比如360safe.exe),然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。这个是针对系统可以设置每个程序指定的纠错程序来实现的。让我感到意外的是A.exe不用指明路径!

(或许默认不指名系统会直接找到对应程序名的路径,不过很多病毒都自己写上去了,也就是镜像劫持, 也就是为什么很多人说双击杀毒软件什么的都打不开,病毒很多就在这里做文章)

10、开始菜单启动组 

现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到相应的文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,键名为Startup。 

--------------------------

(这里提示下,startup 文件,系统默认有个账户,再docoument...下面的,对应个账户名字文件夹,其中有一个默认的他里面也可以加载的,但你自己的用户下面的开始/程序/ 启动那里是看不到的,不过这类病毒还是比较少的,估计是觉得他太暴露了,不过还是有些隐蔽的,很多管理员都会忽视)

             =============================================

               下面几项中都是比较少见到的,大家多多留意了

             =============================================

11、Winlogon\shell 

在以下键值位置:

HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon;

里面的shell建值在Explorer.exe的后面加上我们程序的路径 这样我们的程序就可以随系统启动了。

12、COMMAND的AUTORUN

利用CMD.EXE的autorun:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下面建一个字串AUTORUN,值为要运行的.bat或.cmd文件的路径,木马可以加载在AUTORUN键值下。这样在运行CMD命令的时候一起加载运行。

注意: 

1、如果需要运行.dll文件,则需要特殊的命令行: 

例如:

Rundll32.exe C:\WINDOWS\FILE.DLL,Rundll32 

2、解除这里相应的自启动项只需删除该键值即可,但注意不要删除系统键值。

3、如果只想不启动而保留键值,只需在该键值加入rem即可: 

“rem   C:\Windows\vitas.exe” 

13、System\Shell

存放位置:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 

键值名称:Shell,下面的数据为启动文件名。

14、System\Scripts下Logoff(Logon)键值

注意以下分支的Logoff(Logon)键值可能加载文件:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts;

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts。

(也就是对应的组策略里面的系统启动注销时加载的程序,你可以用gpedit.msc修改)

---------------------------------

(这里强调点,卡巴也会在这里写入,不过好像是中文版本的有,经过汉化的,我的kis6.0.2.614版本没有写入,这里是空,具体的你要看看自己的,但不能保证是不是病毒--所以不要误判,可以查看卡巴官方的介绍,或者咨询他们下,我的没有写入,就不多说)

15、AppInit_DLLs键值

在以下位置:

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\WINDOWS,

有一个键值APPINIT_DLLS,一些DLL木马可以在这个位置上直接加载,这种方式加载的木马无法在任务管理器中看到。如求职信病毒就是让系统执行DllMain来达到启动木马的目的,因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。

--------------------

(这里说下,下面这个应该是系统磁盘扫描程序的,也就是你不正常关机的时候会有蓝色界面问你是否要进行扫描的,这个满聪明的,一开始我也没想到能从这里启动,呵呵,现在很多杀软也查不出的)

16、bootexecute键值

在以下位置:

HKLM\SYSTEM\CONTROLSET001\SESSION MANAGE下面,有一个名为bootexecute的多字符键值,默认数值是:autocheck autochk*。

17、Winlogon\Notify

位置:

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY,

此处位置也需要特别的留意。 

这里常常是dll库文件启动的地方,

那些hook注入就是注入到winlogon,我的对应下面有2个(igfxcui,klogon),一些系统工具是直接删除的, 因为这些都是早于系统启动的,dll文件系统还可以为他隐藏,所以你很难用一些icesword等程序结束的,只能自己手动修改。

18、RunOnceEx

XP操作系统,还需要检查一下

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

19、Explorer\shell folders和user shell folder

以下四个键值位置需要注意:

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS;

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\User shell folder

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\User shell folder

20、ShellServiceObjectDelayLoad

以下注册表分支:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

下可能有可疑键值。

链接:

win10怎么添加开机自动启动

1、同时按下【win】+【R】键

2、输入shell:startup并回车

3、打开文件夹后,将需要设置为开机启动的软件快捷方式复制粘贴到启动项文件夹

win10设置软件开机自启

win10系统置电脑软件开机自启动的方法:

1、同时按住键盘上的“win”和“R”键打开运行窗口,然后输入“shell:startup”并按回车键进入系统自启文件夹。

2、右击想要添加软件的快捷方式,然后点击“复制”按钮复制被选中的快捷方式。

3、将刚才复制的软件快捷方式粘贴到打开的系统自启文件夹中,这样以后电脑开机时就会自动启动文件夹中的软件。

windows的自动启动程序介绍

很多计算机初级用户认为管好了「开始→程序→启动」窗体就万事大吉,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,而且一些恶意软件或流氓软件的自启动方式还非常隐蔽,想找出并清理他们确实有点麻烦。

仅仅依靠软件去清理是不够的,我们还要主动出击,主动了解Windows中的自启动机制,这样才能知己知彼,百战不殆。

一、当前用户专有的启动档案夹

这是许多应用软件自动启动的常用位置,Windows自动启动放入该档案夹的所有建立捷径。用户启动档案夹一般在:Documents and Settings用户名字「开始」窗体程序启动,其中「用户名字」是当前登入的用户账户名称。

二、对所有用户有效的启动档案夹

这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登入系统,放入该档案夹的建立捷径总是自动启动 ——这是它与用户专有的`启动档案夹的区别所在。该档案夹一般在:Documents and SettingsAll Users「开始」窗体程序启动。

三、Load注册键

介绍该注册键的数据不多,实际上它也能够自动启动程序。位置:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNT CurrentVersionWindowsload。

四、Userinit注册键

位置:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit。

这里也能够使系统启动时自动启始化程序。通常该注册键下面有一个userinit.exe,这个键允许指定用逗号分隔的多个程序,例如「userinit.exe,OSA.exe」(不含引号)。

五、ExplorerRun注册键

和load、 Userinit不同,ExplorerRun键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun。

六、RunServicesOnce注册键

RunServicesOnce 注册键用来启动服务程序,启动时间在用户登入之前,而且先于其它通过注册键启动的程序。RunServicesOnce注册键的位置是:

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce。

七、RunServices注册键

RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后执行,但两者都在用户登入之前。RunServices的位置是:

HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRunServices,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices。

八、RunOnceSetup注册键

RunOnceSetup 指定了用户登入之后执行的程序,它的位置是:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion RunOnceSetup,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunOnce Setup。

九、RunOnce注册键

安装程序通常用RunOnce键自动执行程序,它的位置在

HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRunOnce和HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRunOnce。

HKEY_LOCAL_MACHINE下面的 RunOnce键会在用户登入之后立即执行程序,执行时机在其它Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其它Run键以及「启动」数据夹的内容之后执行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx。

十、Run注册键

Run是自动执行程序最常用的注册键,位置在:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,和HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun。

HKEY_CURRENT_USER下面的Run键紧接 HKEY_LOCAL_MACHINE下面的Run键执行,但两者都在处理「启动」数据夹之前。

windows7系统开机自启动设置

您好,设置开机启动项的方法:

1、点击“开始”按钮打开菜单,打开运行窗口,在输入框中输入“msconfig”,然后点击确定就可以打开系统配置;

2、打“系统配置”窗口后,切换到“启动”选项卡,在此就可以对开机启动项进行设置了;

3、将需要禁用的程序勾选上,点击“全部禁用”,然后点击确定,重启计算机;

4、如果有安装360安全卫士等工具,可以打开优化加速,点击全面加速,关闭多余的启动项,不过要仔细看,不要把关键的启动项禁用,否则系统会出问题。


分享名称:包含自启动系统windows的词条
网页路径:http://kswjz.com/article/hhispj.html
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流