<em id="pj4oa"><acronym id="pj4oa"></acronym></em><button id="pj4oa"><object id="pj4oa"></object></button>
<progress id="pj4oa"><track id="pj4oa"><rt id="pj4oa"></rt></track></progress>

    <dd id="pj4oa"></dd>
    <th id="pj4oa"></th>

    返回首頁
    當前位置: 主頁 > Windows教程 >

    Windows自啟動方式完全總結大全

    時間:2013-08-27 23:23來源:Office教程學習網 www.tin22.com編輯:麥田守望者

    一.自啟動項目:
    開始---程序---啟動,里面添加一些應用程序或者快捷方式.
    這是Windows 里面最常見,以及應用最簡單的啟動方式,如果想一些文件開機時候啟動,那么也可以將他拖入里面或者建立快捷方式拖入里面.現在一般的病毒不會采取這樣的啟動手法.也有個別會.
    路徑:C:\Documents and Settings\Owner\「開始」菜單\程序\啟動

    二. 第二自啟動項目:
    這個是很明顯卻被人們所忽略的一個,使用方法和第一自啟動目錄是完全一樣的, 只要找到該目錄,將所需要啟動的文件拖放進去就可以達到啟動的目的.
    路徑:
    C:\Documents and Settings\User\「開始」菜單\程序\啟動

    三. 系統配置文件啟動:
    對于系統配置文件,許多人一定很陌生,許多病毒都是以這種方式啟動.

    1)WIN.INI啟動:
    啟動位置(xxx.exe為要啟動的文件名稱):
    [windows]
    load=xxx.exe[這種方法文件會在后臺運行]
    run=xxx.exe[這種方法文件會在默認狀態下被運行]

    2)SYSTEM.INI啟動:
    啟動位置(xxx.exe為要啟動的文件名稱):
    默認為:
    [boot]
    Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows資源管理器,屬于正常]
    可啟動文件后為:
    [boot]
    Shell= Explorer.exe xxx.exe [現在許多病毒會采用此啟動方式,隨著Explorer啟動, 隱蔽性很好]
    注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的啟動只能啟動一個指定文件,不要把Shell=Explorer.exe xxx.exe換為Shell=xxx.exe,這樣會使Windows癱瘓!

    3) WININIT.INI啟動:
    WinInit即為Windows Setup Initialization Utility, 中文:Windows安裝初始化工具.
    它會在系統裝載Windows之前讓系統執行一些命令,包括復制,刪除,重命名等,以完成更新文件的目的.
    文件格式:
    [rename]
    xxx1=xxx2
    意思是把xxx2文件復制為文件名為xxx1的文件,相當于覆蓋xxx1文件
    如果要把某文件刪除,則可以用以下命令:
    [rename]
    nul=xxx2
    以上文件名都必須包含完整路徑.

    4) WINSTART.BAT啟動:
    這是系統啟動的批處理文件,主要用來復制和刪除文件.如一些軟件卸載后會剩余一些殘留物在系統,這時它的作用就來了.
    如:
    “@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”
    這里是執行xxxx.BAT文件的意思

    5) USERINIT.INI啟動[2/2補充]:
    這種啟動方式也會被一些病毒作為啟動方式,與SYSTEM.INI相同.

    6) AUTOEXEC.BAT啟動:
    這個是常用的啟動方式.病毒會通過它來做一些動作. 在AUTOEXEC.BAT文件中會包含有惡意代碼。如format c: /y 等等其它.

    四. 注冊表啟動:
    通過注冊表來啟動,是WINDOWS中使用最頻繁的一種.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
    HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
    HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
    HKEY_CURRENT_USER\Control Panel\Desktop
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
    HKLM\SOFTWARE\Classes\Protocols\Filter
    HKLM\SOFTWARE\Classes\Protocols\Handler
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
    HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
    HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
    HKLM\Software\Microsoft\Internet Explorer\Toolbar
    HKLM\Software\Microsoft\Internet Explorer\Extensions
    HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    HKCU\Control Panel\Desktop\Scrnsave.exe
    HKLM\System\CurrentControlSet\Services\WinSock\Parameters\Protocol_Catalog9
    HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

    五.其他啟動方式:
    (1).C:\Explorer.exe啟動方式:
    這種啟動方式很少人知道.
    在Win9X下,由于SYSTEM.INI只指定了Windows的外殼文件Explorer.exe的名稱,而并沒有指定絕對路徑,所以Win9X會搜索Explorer.exe文件.
    搜索順序如下:
    (1).  搜索當前目錄.
    (2).  如果沒有搜索到Explorer.exe則系統會獲取
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息獲得相對路徑.
    (3).  如果還是沒有文件系統則會獲取[HKEY_CURRENT_USER\Environment\Path]的信息獲得相對路徑.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相對路徑的鍵值 為:“%SystemRoot%System32;%SystemRoot%”和空.
    所以,由于當系統啟動時,“當前目錄”肯定是%SystemDrive%(系統驅動器),這樣系統搜索Explorer.EXE的順序應該是:
    (1).  %SystemDrive%(例如C:\)
    (2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
    (3).  %SystemRoot%(例如C:\WINNT)
    此時,如果把一個名為Explorer.EXE的文件放到系統根目錄下,這樣在每次啟動的時候系統就會自動先啟動根目錄下的Explorer.exe而不啟動Windows目錄下的Explorer.exe了.
    在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系統啟動時要使用的外殼文件(Explorer.exe)的名稱放到了:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微軟已經更改了這一方式.

    (2).屏幕保護啟動方式:
    Windows 屏幕保護程序是一個*.scr文件,是一個可執行PE文件,如果把屏幕保護程序*.scr重命名為*.exe的文件,這個程序仍然可以正常啟動,類似的*.exe文件更名為*.scr文件也仍然可以正常啟動.
    文件路徑保存在System.ini中的SCRNSAVE.EXE=的這條中.如: SCANSAVE.EXE=/%system32% xxxx.scr
    這種啟動方式具有一定危險.

    (3).計劃任務啟動方式:
    Windows 的計劃任務功能是指某個程序在某個特指時間啟動.這種啟動方式隱蔽性相當不錯.
    [開始]---[程序]---[附件]---[系統工具]---[計劃任務],按照一步步順序操作即可.

    (4).AutoRun.inf的啟動方式:
    Autorun.inf這個文件出現于光盤加載的時候,放入光盤時,光驅會根據這個文件內容來確定是否打開光盤里面的內容.
    Autorun.inf的內容通常是:
    [AUTORUN]
    OPEN=文件名.exe
    ICON=icon(圖標文件).ico
    1.如一個木馬,為xxx.exe.那么Autorun.inf則可以如下:
    ōPEN=Windows\xxx.exe
    ICON=xxx.exe
    這時,每次雙擊C盤的時候就可以運行木馬xxx.exe.

    2.如把Autorun.inf放入C盤根目錄里,則里面內容為:
    ōPEN=D:\xxx.exe
    ICON=xxx.exe
    這時,雙擊C盤則可以運行D盤的xxx.exe

    (5).更改擴展名啟動方式:
    更改擴展名: (*.exe)
    如:*.exe的文件可以改為:*.bat,*.scr等擴展名來啟動.

    六.Vxd虛擬設備驅動啟動方式:
    應用程序通過動態加載的VXD虛擬設備驅動,而去的Windows 9X系統的操控權(VXD虛擬設備驅動只適用于Windows 95/98/Me).
    可以用來管理例如硬件設備或者已安裝軟件等系統資源的32位可執行程序,使得幾個應用程序可以同時使用這些資源.

    ------分隔線----------------------------
    標簽(Tag):windows8 windows教程 windows技巧 windowsxp
    ------分隔線----------------------------
    推薦內容
    猜你感興趣
    五月婷婷福利