一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是windows 里面最常见,以及应用最简单的启动方式,如果想一些文件 开机时候启动,那么也可以将他拖入里面或者 建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:/Documents and Settings/Owner/「开始」菜单/程序/启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文 件 拖放进去就可以达到启动的目的.
路径:
C:/Documents and Settings/User/「开始」菜单/程序/启动
三. 系统配置文件 启动:
对于系统配置文件 , 许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(xxx.exe为要启动的文件 名称):
[windows ]
load=xxx.exe[这 种方法文件 会在后台运行]
run=xxx.exe[这 种方法文件 会在默认状态下被运行]
2)SYSTEM.INI启动:
启动位置(xxx.exe为要启动的文件 名称):
默认为:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者windows 资源管理器,属于正常]
可 启动文件 后为:
[boot]
Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件 ,不要把 Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使windows 瘫痪!
3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:windows 安装初始化工具 .
它会在系 统装载windows 之前让系统执行一些命令,包括复 制,删除,重命名等,以完成更新文件 的目的.
文件 格 式:
[rename]
xxx1=xxx2
意思是把xxx2文件复制为文件名为xxx1的文件,相当于覆盖xxx1文件
如 果要把某文件 删除,则可以用以下命令:
[rename]
nul=xxx2
以 上文件 名都必须包含完整路径.
4) WINSTART.BAT启动:
这是系统启动的批处理 文件,主要用来复制和删除文件 . 如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:/WINDOWS/TEMPxxxx.BAT call C:/windows /TEMPxxxx.BAT”
这 里是执行xxxx.BAT文件 的意思
5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件 中 会包含有恶意代码。如format c: /y 等等其它.
四. 注册表启动:
通过注册表来启动,是windows 中使用最频繁的一种.
-----------------------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windows NT/CurrentVersion/Winlogon/
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
HKEY_LOCAL_MACHINE/System/ControlSet001/Session Manager/BootExecute
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager/BootExecute
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/本地User/Software/Microsoft/windows /CurrentVersion/Policies/ Explorer/Run
HKLM/Software/Microsoft/windows /CurrentVersion/Explorer/Browser Helper Objects/
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/windows /AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windows /CurrentVersion/RunOnceEx
HKEY_LOCAL_MACHINE/Software/Microsoft/windows /CurrentVersion/RunServicesOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/windows /CurrentVersion/RunServices/
HKEY_CURRENT_USER/Software/Microsoft/windows /CurrentVersion/RunOnce/Setup/
HKEY_USERS/.Default/Software/Microsoft/windows /CurrentVersion/Run/
HKEY_USERS/.Default/Software/Microsoft/windows /CurrentVersion/RunOnce/
HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/
HKEY_CURRENT_USER/Control Panel/Desktop
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Session Manager
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
HKEY_LOCAL_MACHINE/Software/Microsoft/windows NT/CurrentVersion/Winlogon/Userinit
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/windows /run
HKEY_LOCAL_MACHINE/Software/Microsoft/windows /CurrentVersion/ShellServiceObjectDelayLoad/
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/windows /load
HKEY_CURRENT_USER/Software/Microsoft/windows /CurrentVersion/Policies/Explorer/run/
HKEY_LOCAL_MACHINE/Software/Microsoft/windows /CurrentVersion/Policies/Explorer/run/
HKLM/SOFTWARE/Classes/Protocols/Filter
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/windows /CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/windows /CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/windows /CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/windows /CurrentVersion/Shell Extensions/Approved
HKLM/Software/Classes/Folder/Shellex/ColumnHandlers
HKCU/Software/Microsoft/Internet Explorer/UrlSearchHooks
HKLM/Software/Microsoft/Internet Explorer/Toolbar
HKLM/Software/Microsoft/Internet Explorer/Extensions
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/windows NT/CurrentVersion/Image File Execution Options
HKLM/System/CurrentControlSet/Control/Session Manager/KnownDlls
HKLM/SOFTWARE/Microsoft/windows NT/CurrentVersion/Winlogon/UIHost
HKLM/SOFTWARE/Microsoft/windows NT/CurrentVersion/Winlogon/Notify
HKCU/Control Panel/Desktop/Scrnsave.exe
HKLM/System/CurrentControlSet/Services/WinSock/Parameters/Protocol_Catalog9
HKLM/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Authentication Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Notification Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Security Packages