WK綜合論壇, WK综合论坛

 找回密碼
 立即注册
查看: 1488|回復: 2

[技術討論] 教你全面揪出自启动程序

[複製鏈接]
累計簽到:278 天
連續簽到:1 天
發表於 2014-10-15 21:41:21 | 顯示全部樓層 |閱讀模式
VIP精品區,資源無限好賺金任務區,輕松賺金幣
加入VIP,享受高級特權宣傳賺金又升級,超級棒
有时你会发觉电脑越来越慢了,可能是你装的随windows运行而启动的软件太多了,可能是你中病毒了,这时候你就需要知道电脑启动了一些什么软件。正规的软件,你能很容易的发现它的所在,而那些狡猾或不怀好意的软件就会东躲西藏,让还不十分熟悉电脑的人难以找到。下面就把各种随windows运行而启动的程序可能躲藏的地方,一一给大家指出来:
9 k- ?& A; G0 ~2 r/ j% g1 F" h+ A  z7 C) s
一、经典的启动——“启动”文件夹
: z& n& G8 K! _, p( b. i( Z9 e* [% E% C$ D
  单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,其中的程序和快捷方式都会在系统启动时自动运行。
* X2 S6 H9 {  P$ i! r4 U
! S7 ~. R8 z0 D9 G  R二、有名的启动——注册表启动项$ |7 D  C3 D0 o9 y

7 c& m- W" E& L1 t  注册表是启动程序藏身之处最多的地方,主要有以下几项:
% T1 ]8 r! {) I& @8 g# G5 X% f- O& a( z# H) ~4 M3 }8 b# r
  1.Run键, }7 b- }: I" C% _* q+ V
  Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_
7 Z/ Q) C3 \! j5 M$ k, SUSER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_! O$ A( M4 F, ?! v  h8 d( h
LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
8 n4 ]5 @0 B4 o5 `! t  还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_" a7 p2 P# E/ Z6 V2 K# e
USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
4 B; r! `2 y  s* F. n, wPolicies\Explorer\Run],也要仔细查看。/ Q- T+ H+ s& O2 H+ W
$ @; C; N. q2 \
  2.RunOnce键" |* y1 h1 d5 H. |+ I: ?; n1 j
  RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows\+ b/ r" {9 Z- ^% H
CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\3 D( y$ H2 \9 w/ ^: q
Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。1 Q6 L" z8 p3 r+ b2 f# y$ b1 j7 Z, F
8 M6 ]1 c9 e' H9 K/ i: d+ M& p
  3.RunServicesOnce键9 p8 c+ y3 |+ x
  RunServicesOnce键位于[HKEY_CURRENT_USER\Software\Microsoft\
. f. k  |; Y) g" m- hWindows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\! j: `( f) H7 Y+ g4 o6 D: T
Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
, N. m, G1 \( u* G1 z1 |9 n) `4 g3 C. [( [
  4.RunServices键
- X+ A2 U/ b' Y. {( _5 C  RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\+ ^2 M/ v% f7 S
RunServices]键。- b' ]# N8 R! o4 B3 p

  \+ ^9 M. m3 x1 F4 L; b8 I. r  5.RunOnceEx键2 d7 a8 E, A! V8 n( R0 k
  该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_# d5 @" e: m+ Q4 j
CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
/ a9 P0 k3 ]8 {! b) U* t( z" d1 v  _6 i
  6.load键
5 t/ ?( r3 |; `, f, ?& D) Z  [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。( h0 b- l2 m! B* U8 z; ~
9 m- j: T1 {2 }& S4 Q
  7.Winlogon键7 r: y4 |! q+ t
  该键位于位于注册表[HKEY_CURRENT_USER\SOFTWARE\
" K. y" n8 a  ?" _# YMicrosoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\6 \5 |& t. J! c$ N1 r" n
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。( m1 W9 Z: d' a: O2 M2 D
# D3 Y0 }; \+ A8 A# {* x
  8.其他注册表位置
% R! {9 x5 ~) S# |& H7 K  还有一些其他键值,经常会有一些程序在这里自动运行,如:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]3 g" |+ n) W, ^9 Q. }) s- s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]. G$ W2 C/ M* T3 X: y  [
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts], G0 t  E8 R! O0 |# p# `9 p& E* B
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts] 1 W7 {4 M# c% ?9 k

. n0 s( p  T8 f2 A9 Z常用的启动——系统配置文件
8 }4 [8 s, V2 r: m5 D; j/ H7 f, M; p  ?+ S
  在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
  u+ z, }( @' L- U! X& t# J  ]1 g! I# P' ?4 r1 a6 j
  1.Win.ini文件
  u9 ?; E0 {0 A5 k' L  使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。9 k. d4 ^- j( J+ G3 i3 J) z, J
" ^0 l0 {7 i1 V( r% Q7 p
  小提示
/ u4 k9 B; e; K. g/ J& Y' K  “load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。& C0 d8 e% x1 B- ^: E  m% S

4 h+ n! v$ Z/ i  2.System.ini文件0 T5 a! o" @, A0 a! R
  使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序如图2所示。
7 l. B$ q+ `' ^6 N& b3 e) L" I
) k2 c" w+ {7 k$ W+ z1 w' Q  3.wininit.ini
1 p% A/ s. d8 G4 V; o  wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。4 v- l* l) O( R4 s5 W) d
4 K: U, L& v, Q0 ]
  小提示# y  @9 C' F) d( s1 {3 p6 I3 `% i
  ★如果不知道它们存放的位置,按F3键打开“搜索”对话框进行搜索;
/ h2 {% `( c  i- p  ★单击“开始→运行”,输入sysedit回车,打开“系统配置编辑程序”,在这里也可以方便的对上述文件进行查看与修改。
- p* |( ^# R, u1 E2 h# z8 _1 b6 U/ b* k# L  _
五、智能的启动——开/关机/登录/注销脚本6 c, R5 L7 m, m

$ f+ `# O5 T0 g' P$ r  ~+ F  在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。  w# Q$ y: ]" X3 e# s0 Q
* H3 o: ~5 N; {/ i5 z. r
六、定时的启动——任务计划( p: W) _- D: Q! X% g  ?5 S

7 {( {1 T/ h9 j" D% Z# Q/ w5 J6 \( [; Y  在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
6 r0 g& h6 v  Y9 r7 }! _3 A
3 {0 W, d- j0 C' ^1 p) D) P/ O  小提示
& @+ B1 b) C3 i9 |4 J" _2 B0 ?  “任务计划”也是一个特殊的系统文件夹,单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹,从而方便进行查看和管理

/ f( Z( ~, v+ ^& v5 W
2 ^9 A+ Z5 K! w2 Q; a. y# T
回復

舉報

累計簽到:955 天
連續簽到:1 天
發表於 2014-10-23 15:31:22 | 顯示全部樓層
VIP精品區,資源無限好賺金任務區,輕松賺金幣
加入VIP,享受高級特權宣傳賺金又升級,超級棒
太技术了,不好学。感谢分享。
累計簽到:10 天
連續簽到:1 天
發表於 2014-12-3 16:45:09 | 顯示全部樓層
VIP精品區,資源無限好賺金任務區,輕松賺金幣
加入VIP,享受高級特權宣傳賺金又升級,超級棒
难度系数太大了,不好掌握,慢慢学吧
 分享同時學會感恩,一句感謝的話語,就是最大的支持!  歡迎交流討論
您需要登錄後才可以回帖 登錄 | 立即注册

本版積分規則


快速回復 返回頂部 返回列表