一.自啟動項目:
開始---程式---啟動,裡面添加一些應用程式或者捷徑.
這是Windows 裡面最常見,以及應用最簡單的啟動方式,如果想一些檔案開機時候啟動,那麼也可以將他拖入裡面或者建立捷徑拖入裡面.現在一般的病毒不會採取這樣的啟動手法.也有個別會.
路徑:C:\Documents and Settings\Owner\「開始」菜單\程式\啟動
二. 第二自啟動項目:
這個是很明顯卻被人們所忽略的一個,使用方法和第一自啟動目錄是完全一樣的, 只要找到該目錄,將所需要啟動的檔案拖放進去就可以達到啟動的目的.
路徑:
C:\Documents and Settings\User\「開始」菜單\程式\啟動
三. 系統設定檔啟動:
對於系統設定檔,許多人一定很陌生,許多病毒都是以這種方式啟動.
1)WIN.INI啟動:
啟動位置(xxx.exe為要啟動的檔案名稱):
[windows]
load=xxx.exe[這種方法檔案會在後台運行]
run=xxx.exe[這種方法檔案會在預設狀態下被運行]
2)SYSTEM.INI啟動:
啟動位置(xxx.exe為要啟動的檔案名稱):
預設為:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程式管理器或者Windows資源管理員,屬於正常]
可開機檔案後為:
[boot]
Shell= Explorer.exe xxx.exe [現在許多病毒會採用此啟動方式,隨著Explorer啟動, 隱蔽性很好]
注意: SYSTEM.INI和WIN.INI檔案不同,SYSTEM.INI的啟動只能啟動一個指定檔案,不要把Shell=Explorer.exe xxx.exe換為Shell=xxx.exe,這樣會使Windows癱瘓!
3) WININIT.INI啟動:
WinInit即為Windows Setup Initialization Utility, 中文:Windows安裝初始化工具.
它會在系統裝載Windows之前讓系統執行一些命令,包括複製,刪除,重新命名等,以完成更新檔案的目的.
檔案格式:
[rename]
xxx1=xxx2
意思是把xxx2檔案複製為檔案名稱為xxx1的檔案,相當於覆蓋xxx1檔案
如果要把某檔案刪除,則可以用以下命令:
[rename]
nul=xxx2
以上檔案名稱都必須包含完整路徑.
4) WINSTART.BAT啟動:
這是系統啟動的批次檔,主要用來複製和刪除檔案.如一些軟體卸載後會剩餘一些殘留物在系統,這時它的作用就來了.
如:
“@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”
這裡是執行xxxx.BAT檔案的意思
5) USERINIT.INI啟動[2/2補充]:
這種啟動方式也會被一些病毒作為啟動方式,與SYSTEM.INI相同.
6) AUTOEXEC.BAT啟動:
這個是常用的啟動方式.病毒會通過它來做一些動作. 在AUTOEXEC.BAT檔案中會包含有惡意代碼。如format c: /y 等等其它.
四. 註冊表啟動:
通過註冊表來啟動,是WINDOWS中使用最頻繁的一種.
-----------------------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
HKEY_CURRENT_USER\Control Panel\Desktop
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Services\WinSock\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
五.其他啟動方式:
(1).C:\Explorer.exe啟動方式:
這種啟動方式很少人知道.
在Win9X下,由於SYSTEM.INI只指定了Windows的外殼檔案Explorer.exe的名稱,而並沒有指定絕對路徑,所以Win9X會搜尋Explorer.exe檔案.
搜尋順序如下:
(1). 搜尋目前的目錄.
(2). 如果沒有搜尋到Explorer.exe則系統會擷取
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的資訊獲得相對路徑.
(3). 如果還是沒有檔案系統則會擷取[HKEY_CURRENT_USER\Environment\Path]的資訊獲得相對路徑.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所儲存的相對路徑的索引值 為:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由於當系統啟動時,“目前的目錄”肯定是%SystemDrive%(系統磁碟機),這樣系統搜尋Explorer.EXE的順序應該是:
(1). %SystemDrive%(例如C:\)
(2). %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
(3). %SystemRoot%(例如C:\WINNT)
此時,如果把一個名為Explorer.EXE的檔案放到系統根目錄下,這樣在每次啟動的時候系統就會自動先啟動根目錄下的Explorer.exe而不啟動Windows目錄下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加註意了Explorer.exe的檔案名稱放置的位置,把系統啟動時要使用的外殼檔案(Explorer.exe)的名稱放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微軟已經更改了這一方式.
(2).螢幕保護裝置啟動方式:
Windows 螢幕保護裝置程式是一個*.scr檔案,是一個可執行PE檔案,如果把螢幕保護裝置程式*.scr重新命名為*.exe的檔案,這個程式仍然可以正常啟動,類似的*.exe檔案更名為*.scr檔案也仍然可以正常啟動.
檔案路徑儲存在System.ini中的SCRNSAVE.EXE=的這條中.如: SCANSAVE.EXE=/%system32% xxxx.scr
這種啟動方式具有一定危險.
(3).計劃任務啟動方式:
Windows 的計劃任務功能是指某個程式在某個特指時間啟動.這種啟動方式隱蔽性相當不錯.
[開始]---[程式]---[附件]---[系統工具]---[計劃任務],按照一步步順序操作即可.
(4).AutoRun.inf的啟動方式:
Autorun.inf這個檔案出現於光碟片載入的時候,放入光碟片時,光碟機會根據這個檔案內容來確定是否開啟光碟片裡面的內容.
Autorun.inf的內容通常是:
[AUTORUN]
OPEN=檔案名稱.exe
ICON=icon(表徵圖檔案).ico
1.如一個木馬,為xxx.exe.那麼Autorun.inf則可以如下:
ōPEN=Windows\xxx.exe
ICON=xxx.exe
這時,每次雙擊C盤的時候就可以運行木馬xxx.exe.
2.如把Autorun.inf放入C盤根目錄裡,則裡面內容為:
ōPEN=D:\xxx.exe
ICON=xxx.exe
這時,雙擊C盤則可以運行D盤的xxx.exe
更多請參見:Autorun.inf完全操作手冊
(5).更改副檔名啟動方式:
更改副檔名: (*.exe)
如:*.exe的檔案可以改為:*.bat,*.scr等副檔名來啟動.
六.Vxd虛擬設備驅動啟動方式:
應用程式通過動態載入的VXD虛擬設備驅動,而去的Windows 9X系統的操控權(VXD虛擬設備驅動只適用於Windows 95/98/Me).
可以用來管理例如硬體裝置或者已安裝軟體等系統資源的32位可執行程式,使得幾個應用程式可以同時使用這些資源.
七.Service[服務]啟動方式:
[開始]---[運行]---輸入"services.msc",不帶引號---即可對服務項目的操作.
在“服務啟動方式”選項下,可以設定系統的啟動方式:程式開始時自動運行,還是手動運行,或者永久停止啟動,或者暫停(重新啟動後依舊會啟動).
註冊表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通過服務來啟動的程式,都是在後台運行,例如國產木馬"灰鴿子"就是利用此啟動方式來達到後台啟動,竊取使用者資訊.
八.驅動程式啟動方式:
有些病毒會偽裝成硬體的驅動程式,從而達到啟動的目的.
1.系統內建的驅動程式.[指直接使用作業系統內建的標準程式來啟動]
2.硬體內建的驅動程式.[指使用硬體內建的標準程式來啟動]
3.病毒本身偽裝的驅動程式.[指病毒本身偽裝的標準程式來啟動]
06/3/11補充[來自peter_yu]:
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\
c:\explorer.exe
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini - [windows] "load"
windir\win.ini - [windows] "run"
windir\system.ini - [boot] "shell"
windir\system.ini - [boot] "scrnsave.exe"
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt
06/3/25補充[來自smzd2005]:
Folder.htt
desktop.ini
C:\Documents and Settings\使用者名稱\Application Data\Microsoft\Internet Explorer\Desktop.htt
06/8/1補充[本人補充(註冊表啟動方式)]:
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKLM\SOFTWARE\Classes\PROTOCOLS
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\scrīpts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKLM\Software\Microsoft\Active Setup\Installed Components
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
06/8/6補充[本人補充(註冊表啟動方式)]:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell