查看完整版本: 了解自启动文件的藏身之处

了解自启动文件的藏身之处

其实Windows2000/XP中的自启动文件，除了从以前系统中遗留下来的Autoexec.bat文件中加载外，按照两个文件夹和9个核心注册表子键来自动加载程序的。

1）“启动”文件夹－－最常见的自启动程序文件夹。它位于系统分区的“documents and Settings－－>User－－>〔开始〕菜单－－>程序”目录下。这时的User指的是你登录的用户名。

2）“All Users”中的自启动程序文件夹－－另一个常见的自启动程序文件夹。它位于系统分区的“documents and Settings－－>All User－－>〔开始〕菜单－－>程序”目录下。前面提到的“启动”文件夹运行的是登录用户的自启动程序，而“All Users”中启动的程序是在所有用户下都有效（不论你用什么用户登录）。

3）“Load”键值－－一个埋藏得较深的注册表键值。位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主键下。

4）“Userinit”键值－－它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主键下，也是用于系统启动时加载程序的。一般情况下，其默认值为“userinit.exe”，由于该子键的值中可使用逗号分隔开多个程序，因此，在键值的数值中可加入其它程序。

5）“Explorer\Run”键值－－与“load”和“Userinit”两个键值不同的是，“Explorer\Run”同时位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕两个根键中。它在两个中的位置分别为〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。

6）“RunServicesOnce”子键－－它在用户登录前及其它注册表自启动程序加载前面加载。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。

7）“RunServices”子键－－它也是在用户登录前及其它注册表自启动程序加载前面加载。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。

8）“RunOnce\Setup”子键－－其默认值是在用户登录后加载的程序。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。

9）“RunOnce”子键－－许多自启动程序要通过RunOnce子键来完成第一次加载。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。位于〔HKEY_CURRENT_USER〕根键下的RunOnce子键在用户登录扣及其它注册表的Run键值加载程序前加载相关程序，而位于〔HKEY_LOCAL_MACHINE〕主键下的Runonce子键则是在操作系统处理完其它注册表Run子键及自启动文件夹内的程序后再加载的。在Windows XP中还多出一个〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子键，其道理相同。

10）“Run”子键－－目前最常见的自启动程序用于加载的地方。这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。其中位于〔HKEY_CURRENT_USER〕根键下的Run键值紧接着〔HKEY_LOCAL_MACHINE〕主键下的Run键值启动，但两个键值都是在“启动”文件夹之前加载。

11）再者就是Windows中加载的服务了，它的级别较高，用于最先加载。其位于〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下，看到了吗，你所有的服务加载程序都在这里了！

12）Windows Shell──它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字符串类型键值中，基默认值为Explorer.exe，当然可能木马程序会在此加入自身并以木马参数的形式调用资源管理器，以达到欺骗用户的目的～～

13）BootExecute──它位于注册表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面，有一个名为BootExecute的多字符串值键，它的默认值是"autocheck autochk *"，用于系统启动时的某些自动检查。这个启动项目里的程序是在系统图形界面完成前就被执行的，所以具有很高的优先级～～～～

14）策略组加载程序——打开Gpedit.msc，展开“用户配置——管理模板——系统——登录”，就可以看到“在用户登录时运行这些程序”的项目，你可以在里面添加。在注册表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相对应的键值～～～

这个我有学习
对手动杀毒奠定基础!{tsj27}

顶下，慢慢学习

不错，学习了

学习了，多谢！

学了，多谢楼主

收藏了，好好学习

学习下

学习了，谢谢啊！

对学习基础知识，进行手动杀毒都有帮助，非常感谢！{tsj27}

帖子不错。辛苦了。

[color=red]有疑问的，不明白的地方请发帖询问，勿回复无意义的帖子~谢啦[/color]

记不了这么多{tsj09}

只是了解下

谢楼主了

这个不错，对我很有帮助，我的水平有可以提升了，谢谢楼主！

不明白的开贴询问，请勿跟帖发问哦

看了下｀｀了解中　分析　很好

多谢高手的指点,实在是受益多多

收藏并学习了,

我是菜鸟,电脑开机启动项过多,请大侠指导该怎么做.
==============================================================
        金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 [url=http://www.duba.net]http://www.duba.net[/url]
==============================================================
诊断时间:        2008-08-12, 11:05
诊断平台:        Windows XP [5.1.2600] Service Pack 2
IE版本:          Internet Explorer V6.0.2180.2900
计算机物理内存:  246(MB)
当前可用内存:    65(MB)
硬盘总大小:      35(GB)
硬盘可用空间:    22(GB)
清理专家版本:    2008,03,26,471
恶意软件库版本:  2008.04.24.1
漏洞库版本:      2008.04.09.1


==============================================================
        启动文件夹位置
==============================================================
Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:             C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
        Host File
==============================================================
127.0.0.1       localhost
==============================================================
        系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [HidServ] [已禁用]             <%SystemRoot%\System32\hidserv.dll>
        [mnmsrvc] [已禁用]             <C:\WINDOWS\system32\mnmsrvc.exe>
        [srservice] [已禁用]           <C:\WINDOWS\system32\srsvc.dll>

==============================================================
        驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
        [vidc.I420] [已启用]           <msh263.drv>
        [VIDC.FFDS] [已启用]           <ff_vfw.dll>
        [msacm.avis] [已启用]          <ff_acm.acm>
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [ATSpy] [已启用]               <\??\C:\WINDOWS\system32\ATSpy.sys>
        [sr] [已禁用]                  <\SystemRoot\system32\DRIVERS\sr.sys>

==============================================================
        IE扩展按钮
==============================================================
该项来源: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions
        [雨林木风]
        <{C3F1448C-58E9-4F6D-A622-9DE26B846DA9}>    <[url=http://www.ylmf.com/index.htm]http://www.ylmf.com/index.htm[/url]>

==============================================================
        其他安全区域
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
        [显示摇曳 CPL 扩展]   <deskpan.dll>

学习