我们经常使用安全模式来处理病毒、木马、流氓软件等,这是因为安全模式会忽略启动项。但是,并非所有的启动项都会被忽略,使得安全模式并不安全。
如注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下面的shell和UserInit,这两个键值也是病毒、木马、流氓软件经常使用的注册表键,而且这两个键在安全模式下也能被运行,只不过shell在带命令行模式的安全模式下不会运行。
如:
Shell=Explorer.exe notepad.exe 用空格分隔程序名,即可开机启动notepad.exe
UserInit=D:/WINDOWS/system32/userinit.exe,calc.exe 用逗号分隔程序名,既可启动calc.exe
所以,我们不能轻易认为,到安全模式下就能阻止一些病毒、木马、流氓软件的自动启动了。当然还有些程序以驱动、服务形式运行的,在安全模式下还是能运行,这些在注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot中有定义。
至于如何判断系统自动运行项目有哪些,个人推荐autoruns,能找出系统内可能会运行的项目。