close

瞭解自開機檔案的藏身之處

其實Windows2000/XP中的自開機檔案,除了從以前系統中遺留下來的Autoexec.bat檔中載入外,按照兩個資料夾和9個核心註冊表子鍵來自動載入程式的。

1)“啟動”資料夾--最常見的自啟動程式資料夾。它位於系統磁碟分割的“documents and Settings-->User-->〔開始〕功能表-->程式”目錄下。這時的User指的是你登錄的用戶名。

2)“All Users”中的自啟動程式資料夾--另一個常見的自啟動程式資料夾。它位於系統磁碟分割的“documents and Settings-->All User-->〔開始〕功能表-->程式”目錄下。前面提到的“啟動”資料夾運行的是登錄使用者的自啟動程式,而“All Users”中啟動的程式是在所有使用者下都有效(不論你用什麼用戶登錄)。

3)“Load”鍵值--一個埋藏得較深的註冊表鍵值。位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主鍵下。

4)“Userinit”鍵值--它則位於〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主鍵下,也是用於系統啟動時載入程式的。一般情況下,其預設值為“userinit.exe”,由於該子鍵的值中可使用逗號分隔開多個程式,因此,在鍵值的數值中可加入其它程式。

5)“Explorer\Run”鍵值--與“load”和“Userinit”兩個鍵值不同的是,“Explorer\Run”同時位於〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個根鍵中。它在兩個中的位置分別為〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。

6)“RunServicesOnce”子鍵--它在用戶登錄前及其它註冊表自啟動程式載入前面載入。這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。

7)“RunServices”子鍵--它也是在用戶登錄前及其它註冊表自啟動程式載入前面載入。這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。

8)“RunOnce\Setup”子鍵--其預設值是在使用者登錄後載入的程式。這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。

9)“RunOnce”子鍵--許多自啟動程式要通過RunOnce子鍵來完成第一次載入。這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。位於〔HKEY_CURRENT_USER〕根鍵下的RunOnce子鍵在用戶登錄扣及其它註冊表的Run鍵值載入程式前載入相關程式,而位於〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在作業系統處理完其它註冊表Run子鍵及自開機檔案夾內的程式後再載入的。在Windows XP中還多出一個〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子鍵,其道理相同。

10)“Run”子鍵--目前最常見的自啟動程式用於載入的地方。這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。其中位於〔HKEY_CURRENT_USER〕根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動,但兩個鍵值都是在“啟動”資料夾之前載入。

11)再者就是Windows中載入的服務了,它的級別較高,用於最先載入。其位於〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下,看到了嗎,你所有的服務載入程式都在這裡了!

12Windows Shell──它位於〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字串類型鍵值中,基預設值為Explorer.exe,當然可能木馬程式會在此加入自身並以木馬參數的形式調用資源管理器,以達到欺騙使用者的目的~~

13BootExecute──它位於註冊表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面,有一個名為BootExecute的多字串值鍵,它的預設值是"autocheck autochk *",用於系統啟動時的某些自動檢查。這個啟動專案裡的程式是在系統圖形介面完成前就被執行的,所以具有很高的優先順序~~~~

14)策略組載入程式——打開Gpedit.msc,展開“使用者配置——管理範本——系統——登錄”,就可以看到“在使用者登錄時運行這些程式”的專案,你可以在裡面添加。在註冊表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相對應的鍵值~~~


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 ww5223 的頭像
    ww5223

    哇哇聲叫抽脂

    ww5223 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄