WININIT.INI文件与Windows病毒(注：如果替换正在使用系统文件）

WININIT.INI文件与Windows病毒  周志方 ★用过Windows 9X的人都见过如下的提示信息： Please wait while Setup updates your configuration files. This may take a few minutes... 在安装完某个软件或者硬件的驱动程序，应安装程序的要求重新启动Windows时，常常看到上述信息。我们往往认为这是Windows的正常活动，绝不会把它与病毒联系起来。本文将用事实告戒你：如果你的机器启动时无缘无故地出现上述信息，就要赶紧去找最新的杀毒软件了！ 这时Windows在干什么呢？实际上它在执行Wininit.ini给出的指令。Wininit.ini是一个鲜为人知的文件，主要用于删除、更名和更新在Windows运行时不能被施以这些操作的文件。它存在的时间很短，所以显得有点神秘。 一、Wininit文件工作机制 众所周知，在Windows中，一个可执行文件如果正在运行或某个库文件(*.dll, *.vxd, *.sys等)正在被打开使用，则不能被改写或删除。例如：你不可能在资源管理器中删除/windows/explorer.exe。而在Windows的GDI界面下，有一些文件一直处于这种状态下，除explorer.exe外，还有显示驱动程序库文件、文件子系统库文件等，如果我们要对这些文件进行升级、改动，就必须在Windows保护模式核心启动前进行。于是Windows就提供了基于Wininit.ini文件的一个机制来完成这个任务。这个机制是：要删除或改写这类文件的应用程序按一定的格式把命令写入Wininit.ini；Windows在重启时，将在Windows目录下搜索Wininit.ini文件，如果找到，就遵照该文件中的指令删除、改名、更新文件，完成任务后，将删除Wininit.ini文件本身，继续启动过程。所以Wininit.ini文件中的指令只会被执行一次，列目录时也通常没有它的踪影。 Wininit.