ivy-jie

progress ...

C++博客 首页 新随笔 联系 聚合 管理
  9 Posts :: 41 Stories :: 6 Comments :: 0 Trackbacks
Windows的自启动方式: 
一.自启动目录: 
 
1.第一自启动目录: 
默认路径位于: 
C:\windows\start menu\programs\startup(English) 
C:\windows\start menu\programs\启动(Chinese) 
这是最基本、最常用的Windows启动方式,主要用于启动一些应用软件的自启动项目,如Office的快捷菜单。一般用户希望启动时所要启动的文件也可以通过这里启动,只需把所需文件或其快捷方式放入文件夹中即可。 
 
对应的注册表位置: 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] 
Startup=\"%Directory%\" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] 
Startup=\"%Directory%\" 
其中“%Directory%”为启动文件夹位置。 
 
英文默认为: 
C:\windows\start menu\programs\startup 
中文默认为: 
C:\windows\start menu\programs\启动 
 
在开始菜单的“启动”文件夹是可更改的,如果用户更改了启动文件夹,则以上注册表的键值均会改变为相应的名称。 
 
值得注意的是:开始菜单的“启动”文件夹中的内容虽然在默认的状态下可以被用户看得一清二楚。但通过改动还是可以达到相当隐蔽地启动的目的的: 
 
首先,“启动”文件夹中的快捷方式或其他文件的属性可以改变为“隐藏”。这样可以达到系统不启动被隐藏的文件,等到需要启动的时候又可以通过更改回文件属性而恢复启动的作用。 
其次,其实“启动”文件夹只是一个普通的文件夹,但是由于系统监视了这个文件夹,所以变得有些特殊,但文件夹有的功能该文件夹也是有的。譬如“启动”文件夹的名称是可以更改的,并且“启动”文件夹也可以设置属性。如果把属性设置为“隐藏”,则在系统中的【开始】【程序】菜单中是看不到“启动”文件夹的(即使在“文件夹选项”中已经设定了“显示所有文件”)。而系统还会启动这个被隐藏的文件夹中的非隐藏文件。 
敏感的人们也许已经发现问题。举一个例子: 
 
如果我想启动A木马的server端服务器,我可以把原来的“启动”菜单的名称更改为“StartUp”(这里是随便改的,注册表相应的键值也会自动更改。)之后再创建一个名为“启动”的文件夹,把“StartUp”菜单中的文件全部复制(这里用复制,可以骗过用户的检查)到“启动”菜单中,然后把A木马的server程序放入“StartUp”文件夹中,最后把“StartUp”文件夹隐藏。大功告成! 
 
从外表看来,用户的【开始】【启动】目录还在,而且要启动的文件也在。但系统此时启动的文件不是名为“启动”的文件夹中的文件,而是名为“StartUp”的文件夹中的文件。如果木马做的好的话,完全可以在每次启动的时候把“StartUp”中的文件复制到“启动”目录中来达到实时更新启动目录的目的。由于“StartUp”文件夹被隐藏,从【开始】【程序】中是无法看到真正的启动菜单“StartUp”的,所以达到了隐蔽启动的目的! 
这个启动方式虽然比较隐蔽,但通过msconfig依旧可以在“启动”页中看出来。 

2.第二自启动目录: 
是的,其实,Windows还有另外一个自启动目录,而且很明显但却经常被人们忽略的一个。 
该路径位于: 
C:\WINDOWS\All Users\Start Menu\Programs\StartUp(English) 
C:\WINDOWS\All Users\Start Menu\Programs\启动(Chinese) 
这个目录的使用方法和第一自启动目录是完全一样的。只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的。 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders] 
\"Common Startup\"=\"%Directory%\" 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders] 
\"Common Startup\"=\"%Directory%\" 
 
值得注意的是:该目录在开始菜单的“启动”目录中是完全不能被看见的。而伴随着每次启动,该目录下的非隐藏文件也会随之启动! 另外,在Msconfig中可以看到在这个目录下要启动的文件。 


二.系统配置文件启动: 
 
由于系统的配置文件对于大多数的用户来说都是相当陌生的;这就造成了这些启动方法相对来说都是相当隐蔽的,所以这里提到的一些方法常常会被用于做一些破坏性的*作,请读者注意。 
 
1.WIN.INI启动: 
启动位置(file.exe为要启动的文件名称): 
[windows] 
load=file.exe 
run=file.exe 
注意:load=与run=的区别在于:通过load=运行文件,文件会在后台运行(最小化);而通过run=来运行,则文件是在默认状态下被运行的。 
 
2.SYSTEM.INI启动:
 
启动位置(file.exe为要启动的文件名称): 
默认为: 
[boot] 
Shell=Explorer.exe 
可启动文件后为: 
[boot] 
Shell=Explorer.exe file.exe 
说明: 
笔者记得在诺顿先生(就是开发出Norton系列软件的人)写的一本书里面曾经说过,1、2这两个文件的有无对系统没有什么影响,但由于时间的关系,笔者没有来得及试验,有兴趣者可以试一试。 
 
不过有一点是可以肯定的,这样的启动方式往往会被木马或一些恶作剧程序(如,妖之吻)利用而导致系统的不正常。由于一般用户很少会对这两个文件关心,甚至有的人不知道这些文件是做什么用的,所以隐蔽性很好。但由于其使用的越来越频繁,这种启动方式也被渐渐的察觉了。用户可以使用msconfig这个命令实现检查是否有什么程序被加载。具体的是在看是菜单中的“运行”中输入msconfig回车,之后按照文字说明即可。 
 
注意: 
1.和WIN.INI文件不同的是,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe file.exe换为Shell=file.exe,这样会使Windows瘫痪! 
2.这种启动方式提前于注册表启动,所以,如果想限制注册表中的文件的启动,可是使用这种方法。 
3.WININIT.INI启动: 
Wininit.ini这个文件也许很多人不知道,一般的*作中用户也很少能直接和这个文件接触。但如果你编写过卸载程序的话,也许你会知道这个文件。 
WinInit即为Windows Setup Initialization Utility。翻译成中文就是Windows安装初始化工具。这么说也许不明白,如果看到如下提示信息: 
Please wait while Setup updates your configuration files. 
This may take a few minutes... 
大家也许就都知道了!这个就是
posted on 2009-05-22 23:44 ivy-jie 阅读(475) 评论(0)  编辑 收藏 引用

只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理