轰龙武器怎么派生:彻底清查Windows自启动程序

来源:百度文库 编辑:九乡新闻网 时间:2024/04/29 20:00:12

彻底清查Windows自启动程序

WINDOWS /Robert 发表于2006-10-11, 23:48

一、经典的启动——“启动”文件夹

  单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,如所示,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:

  当前用户:

  所有用户:

  二、有名的启动——注册表启动项

  注册表是启动程序藏身之处最多的地方,主要有以下几项:

  1.Run键

  Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_

USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_

LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。

  还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Policies\Explorer\Run],也要仔细查看。

  2.RunOnce键

  RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。

  3.RunServicesOnce键

  RunServicesOnce键位于[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。

  4.RunServices键

  RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices]键。

  5.RunOnceEx键

  该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_

CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。

  6.load键

  [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。

  7.Winlogon键

  该键位于位于注册表[HKEY_CURRENT_USER\SOFTWARE\

Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。

  8.其他注册表位置

  还有一些其他键值,经常会有一些程序在这里自动运行,如:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]

  小提示

  注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别:前者对所有用户有效,后者只对当前用户有效。

彻底清查Windows自启动程序

  三、古老的启动——自动批处理文件

  从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。

  小提示

  ★在Windows 98中,Autoexec.bat还有一个哥们

彻底清查Windows自启动程序 自启动程序 揪出自启动程序 找出Windows自启动程序的"十大藏身之处" 揪出电脑自启动程序 AAAAAA揪出自启动程序 怎么找到自启动程序 为系统开机减负 轻松查找Windows自启动程序 - IT一族 - IT论坛_电脑网络论坛... 三板斧令开机自启动程序有规有矩 vc++操作注册表实现自启动程序 编程入门网-让VFP的程序在Windows启动后自动运行 滴水不漏 Windows开机自启动项大点兵_windows7_中国网管联盟bitsCN.c... windows服务程序编写 Windows启动故障 AAAAAA《Windows启动过程》 windows无法启动故障 如何禁止程序自动启动 如何去掉自动启动程序 卸载下列程序: Windows PowerShell windows 中命令行运行程序 Windows启动过程详解哦 Windows XP加快开机启动 Windows系统 启动文件详解 Windows 无法启动的故障