一、經典的啟動——“啟動”檔案夾
單擊“開始→程式”,你會發現一個“啟動”菜單,這就是最經典的Windows啟動位置,右擊“啟動”菜單選擇“開啟”即可將其開啟,其中的程式和捷徑都會在系統啟動時自動運行。
二、有名的啟動——註冊表啟動項
註冊表是啟動程式藏身之處最多的地方,主要有以下幾項:
1.Run
鍵 Run鍵是病毒最青睞的自啟動之所,該鍵位置是[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程式在每次啟動登入時都會按順序自動執行。 還有一個不被注意的Run鍵,位於註冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run],也要仔細查看。
2.RunOnce
鍵 RunOnce位於[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]鍵,與Run不同的是,RunOnce下的程式僅會被自動執行一次。
3.RunServicesOnce
鍵 RunServicesOnce鍵位於[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,其中的程式會在系統載入時自動啟動執行一次
4.RunServices
鍵 RunServices繼RunServicesOnce之後啟動的程式,位於註冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]鍵。
5.RunOnceEx
鍵 該鍵是Windows XP/2003特有的自啟動登錄機碼,位於[HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
6.load
鍵 [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load索引值的程式也可以自啟動。
7.Winlogon
鍵 該鍵位於位於註冊表[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell索引值也會有自啟動的程式,而且其索引值可以用逗號分隔,從而實現登入的時候啟動多個程式。
8.
其他註冊表位置 還有一些其他索引值,經常會有一些程式在這裡自動運行,如: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts] [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提示: 註冊表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]鍵的區別:前者對所有使用者有效,後者只對目前使用者有效。
三、古老的啟動——自動批次檔 從DOS時代過來的朋友肯定知道autoexec.bat(位於系統硬碟根目錄)這個自動批次檔,它會在電腦啟動時自動運行,早期許多病毒就看中了它,使用deltree、format等危險命令來破壞硬碟資料。如“C盤殺手”就是用一句“deltree /y c:\*.*”命令,讓電腦一啟動就自動刪除C盤所有檔案,害人無數。
小提示 ★在Windows 98中,Autoexec.bat還有一個哥們——Winstart.bat檔案,winstart.bat位於Windows檔案夾,也會在啟動時自動執行。 ★在Windows Me/2000/XP中,上述兩個批次檔預設都不會被執行。