轉帖:windows 自開機檔案藏身之處

來自http://bbs.cfanclub.net/dispbbs.asp?boardID=2&ID=232417

windows 自開機檔案藏身之處        jingying
在電腦應用文章精華一書上發現的東西，拿來和大家一起分享：

 

Windows啟動時通常會有一大堆程式自動啟動。不要以為管好了“開始→程式→啟動”菜單就萬事大吉，實際上，在Windows XP/2K中，讓Windows自動啟動程式的辦法很多，下文告訴你最重要的兩個檔案夾和八個註冊鍵。 

一、目前使用者專有的開機檔案夾 

這是許多應用軟體自動啟動的常用位置，Windows自動啟動放入該檔案夾的所有捷徑。使用者開機檔案夾一般在：/Documents and Settings/<使用者名稱字>/「開始」菜單/程式/啟動，其中“<使用者名稱字>”是當前登入的使用者帳戶名稱。 

二、對所有使用者有效開機檔案夾 

這是尋找自動啟動程式的第二個重要位置，不管使用者用什麼身份登入系統，放入該檔案夾的捷徑總是自動啟動——這是它與使用者專有的開機檔案夾的區別所在。該檔案夾一般在：/Documents and Settings/All Users/「開始」菜單/程式/啟動。 

三、Load註冊鍵 

介紹該註冊鍵的資料不多，實際上它也能夠自動啟動程式。位置：
HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/ CurrentVersion/Windows/load。 

四、Userinit註冊鍵 

位置：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersionWinlogon/Userinit。這裡也能夠使系統啟動時自動初始化程式。通常該註冊鍵下面有一個userinit.exe，但這個鍵允許指定用逗號分隔的多個程式，例如“userinit.exe,OSA.exe”（不含引號）。

五、Explorer/Run註冊鍵 

和load、Userinit不同，Explorer/Run鍵在HKEY_CURRENT_USER和
HKEY_LOCAL_MACHINE下都有，具體位置是：
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/PoliciesExplorer/Run，和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
/CurrentVersion/Policies/Explorer/Run。 

六、RunServicesOnce註冊鍵 

RunServicesOnce註冊鍵用來啟動服務程式，啟動時間在使用者登入之前，而且先於其他通過註冊鍵啟動的程式。RunServicesOnce註冊鍵的位置是：
HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/RunServicesOnce，
和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServicesOnce。 

七、RunServices註冊鍵 

RunServices註冊鍵指定的程式緊接RunServicesOnce指定的程式之後運行，但兩者都在使用者登入之前。RunServices的位置是：
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices，和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/RunServices。 

八、RunOnce/Setup註冊鍵 

RunOnce/Setup指定了使用者登入之後啟動並執行程式，它的位置是：
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ RunOnce/Setup，
和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsCurrentVersion/RunOnce/Setup。 

九、RunOnce註冊鍵 

安裝程式通常用RunOnce鍵自動運行程式，它的位置在
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce和
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce。
HKEY_LOCAL_MACHINE下面的RunOnce鍵會在使用者登入之後立即運行程式，運行時機在其他Run鍵指定的程式之前。HKEY_CURRENT_USER下面的RunOnce鍵在作業系統處理其他Run鍵以及“啟動”檔案夾的內容之後運行。如果是XP，你還需要檢查一下
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/RunOnceEx。 

十、Run註冊鍵 

Run是自動運行程式最常用的註冊鍵，位置在：
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run，和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run。
HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵運行，但兩者都在處理“啟動”檔案夾之前。

----------------------------------------------
大家好，有什麼問題共同討論 ！！

:這些都是木馬載入的地方啊！    891