Windows启动项 - 电脑网络 - 雅啸论坛 赤峰元宝山区教育|平庄矿区中学|教育教学...

　　我们知道Windows中自带的“启动”文件夹是最常见的启动项目，但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中，系统启动就会自动地加载相应程序，而且因为它是暴露在外的，所以非常容易被外在的因素更改。# o! I7 R. E% @" K! |
　　一、具体的位置是“开始”菜单中的“启动”选项9 l) y! K+ b. s
　　在硬盘上的位置是：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动;
　　在注册表中的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
　　现在你可以打开看看里面有没有什么不明的程序存在。
　　二、msconfig6 P' J. `. h  c/ s' S+ D$ M3 X1 r
　　msconfig是Windows系统中的“系统配置实用程序”，它管的方面可够宽，包括：system.ini.win.ini，启动项目等。同样，里面也是自启动程序非常喜欢呆的地方!% x0 t) J( m" z8 b+ s
　　1.system.ini
　　首先，在“运行”对话框中输入“msconfig”过来启动系统配置实用程序(下同)，找到system.ini标签，里面的 “shell=……”就可以用来加载特殊的程序，如果你的shell=后面不是默认的explorer.exe，或者说后面还有一个程序的名字，那你可要小心了，请仔细检查相应的程序是否安全!
　　2.win.ini
　　如果我们想加载一个程序：hack.exe，那么可以在win.ini中用下面的语句来实现：. O& c% W+ S3 N6 m' X" P8 @. \
　　[windows]
　　load=hack.exe# T9 ^$ @% u# l( w
　　run=hacke.exe
　　该怎么做，你应该知道了吧!
　　3.“启动”项目
　　系统配置实用程序中的启动标签和我们上面讲的“启动”文件夹并不是同一个东西，在系统配置实用程序中的这个启动项目是Windows系统启动项目的集合地，几乎所有的启动项目部能在这里找到——当然，经过特殊编程处理的程序可以通过另外的方法不在这里显示。3 q5 I8 p; a' d
　　打开“启动”标签，“启动项目”中罗列的是开机启动程序的名称，“命令”下是具体的程序附加命令，最后的"位置"就是该程序在注册表中的相应位置了，你可以对可疑的程序进行详细的路径、命令检查，一旦发现错误，就可以用下方的"禁用"来禁止该程序开机时候的加载。
　　一般来讲，除系统基于硬件部分和内核部分的系统软件的启动项目外，其他的启动项目都是可以适当更改的，包括：杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说，启动项目中包含了所有我们可见的程序的列表，你完全可以通过它来管理你的启动程序!! B9 n! F% L; M' }4 N2 }
　　三、注册表中相应的启动加载项目
　　注册表的启动项目是病毒和木马程序的最爱!非常多的病毒相木马的顽固性就是通过注册表来实现的，所以平常的时候可以下载个注册表监视器来监视注册表的改动，特别是在安装了新的软件或者是运行了新的程序的时候，一定不要被程序漂亮的外表迷惑。一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序!必要的时候可以根据备份来恢复注册表，这样的注册表程序网上很多，这里也就不再罗嗦了。" s2 M5 ?7 t5 L7 T; {" C
　　我们也可以通过手动的方法来检查注册表中相应的位置，虽然它们很多是和上文讲的位置重复，但是对网络安全来讲，小心是永远不嫌多的!* H: ?: [5 v$ T
　　注意同安全、清洁的系统注册表相应键进行比较，如果发现不一致的地方，一定要弄清楚它是什么东西!不要相信写在外面的 “system”、“windows”、“programfiles”等名称，谁都知道“欲盖弥彰”的道理。如果经过详细的比较，可以确定它是不明程序的话，不要手软，马上删除!
　　四、wininit.ini
　　我们知道，Wiidows的安装程序常常调用这个程序来实现安装程序后的删除工作，所以不要小看它，如果在它上面做手脚的话，可以说是非常隐蔽、非常完美的!
　　它在系统盘的Windows目录下，用记事本打开它(有时候是wininit.hak文件)可以看到相应的内容，很明显，我们可以在里面添加相应的语句来达到修改系统时候程序或者是删除程序的目的如果是文件关联型的木马，可以通过winint.ini来删除它感染后的原始文件，从而达到真正隐藏自己的目的!0 r) c( c! ?4 j; ~
　　五、DOS下的战斗
　　最后，我们说说DOS下的启动项目的加载，config.sys,autoexec.bat,*.bat等文件都可以用特定的编程方式来实现加载程序的目的，所以不要以为DOS就是个过时的东西，好的DOS下的编程往往能达到非常简单、非常实用的功能!  

 

XP的启动项命令是MSCONFIG" B3 S8 s7 c; P! E. o* O

winver-检查Windows版本
wmimgmt.msc打开windows管理体系结构(WMI)
wupdmgrwindows更新程序
wscriptwindows脚本宿主设置
write写字板
winmsd-系统信息 : M: Y. f7 O" F/ U/ r' q& q
wiaacmgr-扫描仪和照相机向导 + w& h) k$ K; e! o0 o; X
winchatXP自带局域网聊天  


mem.exe显示内存使用情况
Msconfig.exe-系统配置实用程序 ' I" w& R7 B+ L2 M& D1 r5 j+ N
mplayer2-简易widnows media player
mspaint画图板
mstsc远程桌面连接 9 q, z1 t4 q  Y* g* {3 G
mplayer2-媒体播放机 : C- c( C! m2 M9 w, J6 x
magnify放大镜实用程序 - `  r- m+ S- v+ ^
mmc打开控制台 ; |: O" F' }* S" I, H2 d
mobsync同步命令' ~: D3 M2 J3 g" \5 t( }. z

dxdiag-检查DirectX信息
drwtsn32 系统医生
devmgmt.msc- 设备管理器
dfrg.msc-磁盘碎片整理程序 - f$ J3 F- ]0 q7 g
diskmgmt.msc-磁盘管理实用程序
dcomcnfg-打开系统组件服务
ddeshare-打开DDE共享设置 ( y; H6 e! [+ F0 J3 I
dvdplayDVD播放器

net stop messenger-停止信使服务 / N) X! M# \, S! L- W" j1 L
net start messenger开始信使服务 . J- s+ G8 x8 _6 _* p$ `# R* s0 g, B
notepad打开记事本 ; s) b# L  f7 g
nslookup-网络管理的工具向导 / W2 l% G9 F! O3 j$ t
ntbackup-系统备份和还原
narrator-屏幕“讲述人” : V6 [* h  P0 N# ~/ K8 V- k
ntmsmgr.msc移动存储管理器
ntmsoprq.msc-移动存储管理员操作请求
netstat -an(TC)命令检查接口
5 _. S: D$ m" _
syncapp创建一个公文包 , U% Y* [$ k$ }) A
sysedit系统配置编辑器
sigverif-文件签名验证程序
sndrec32-录音机
shrpubw创建共享文件夹
secpol.msc-本地安全策略
syskey-系统加密，一旦加密就不能解开，保护windows xp系统的双重密码
services.msc-本地服务设置
Sndvol32-音量控制程序
sfc.exe系统文件检查器
sfc /scannow-windows文件保护

tsshutdn-60秒倒计时关机命令
tourstartxp简介（安装完成后出现的漫游xp程序）
taskmgr任务管理器& h7 w8 n6 o, r) r7 Z
0 v6 C: Y6 f- c3 T  D
eventvwr-事件查看器
eudcedit-造字程序 7 Q6 g* _0 o. i+ c+ q) `
explorer-打开资源管理器' f  x6 v" G! {

packager-对象包装程序
perfmon.msc计算机性能监测程序 , L1 B, q- A/ T2 m! R% L; ?& x
progman程序管理器7 T6 A3 `9 f; f

regedit.exe注册表
rsop.msc-组策略结果集
regedt32-注册表编辑器
rononce -p 15秒关机
regsvr32 /u *.dll停止dll文件运行
regsvr32 /u zipfldr.dll取消ZIP支持6 |; T7 W2 Y2 v0 e# B5 e& W

cmd.exeCMD命令提示符 8 k$ c% N$ j& K7 g7 [
chkdsk.exe-Chkdsk磁盘检查
certmgr.msc证书管理实用程序   G/ I2 t, Y7 o# s# O
calc-启动计算器
charmap启动字符映射表 7 R' l' h6 p2 f9 o
cliconfg-SQL SERVER 客户端网络实用程序
Clipbrd剪贴板查看器
conf-启动netmeeting ' ?6 \" _* J  p+ e3 F7 V: d" p
compmgmt.msc-计算机管理
cleanmgr-**整理 : N5 c6 @& n1 r- ?
ciadv.msc索引服务程序

osk打开屏幕键盘
odbcad32-ODBC数据源管理器
oobe/msoobe /a检查XP是否激活
lusrmgr.msc本机用户和组 - M' x# x7 |  [% n! r
logoff-注销命令: g7 E7 C* H8 Y2 q* V. m" q0 {

iexpress-木马捆绑工具，系统自带
# L9 [$ [% ^$ a5 T6 `) [
Nslookup-IP地址侦测器

fsmgmt.msc-共享文件夹管理器

utilman辅助工具管理器7 u+ s* b" p& [) M
5 Z% G& V4 c  C$ j4 P' @) A
gpedit.msc-组策略

最常见的6个启动文件夹* S" H2 d+ h, J2 X
1. windir\Start Menu\Programs\Startup\
2. User\Startup\5 [& k; N/ Y( D
3. All Users\Startup\% W' L* R6 J. a+ W9 X  }& Q
4. windir\system\iosubsys\
5. windir\system\vmm32\; O2 _, [( _. f) w, d, j9 N
6. windir\Tasks\; A, n8 Y2 C+ s, Z7 b9 k  ]; \0 z
2 D" c  d8 p8 h3 N+ ^
12个可能的自启动文件位置 " N9 ^& v! z6 h/ f% M; Z
1. c:\explorer.exe
2. c:\autoexec.bat- X. @, I  t! r' @3 c
3. c:\config.sys9 h5 U; Y0 n$ K2 X6 r2 f
4. windir\wininit.ini2 c0 w# j8 }% p5 e
5. windir\winstart.bat$ r4 a7 Z4 l7 ~3 b( b* o
6. windir\win.ini - [windows] “load”( x. _6 d5 E4 }6 J; d
7. windir\win.ini - [windows] “run”2 ~6 C' C" E! _2 L( _
8. windir\system.ini - [boot] “shell”
9. windir\system.ini - [boot] “scrnsave.exe”
10. windir\dosstart.bat
11. windir\system\autoexec.nt& M) k0 M/ L8 O0 r
12. windir\system\config.nt

35个注册表的自启动位置 0 }5 B  c4 ~2 \# l
1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
All values in this key are executed.
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\' S$ F( g9 e+ I. I7 _, N3 G& x
All values in this key are executed, and then their autostart reference is deleted.

3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
All values in this key are executed as services.
$ K' S! N: k! G9 o; M, F2 ?
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\0 d7 v; A- V2 ~$ p% g1 Q, K
All values in this key are executed as services, and then their autostart reference is deleted. ! w0 q  v1 |3 f4 J: _

5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
All values in this key are executed. 6 e' F# b* ~: m! L* Y

6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.

7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
Used only by Setup. Displays a progress dialog box as the keys are run one at a time. , h' F+ Q' c' q, _3 b4 \  }$ a& }
$ F8 ~! y0 c7 s' O$ |' z4 d

8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
Similar to the Run key from HKEY_CURRENT_USER. 4 a) ]: F" Z1 y

9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\, O; ^+ a3 W. g* I( D$ A
Similar to the RunOnce key from HKEY_CURRENT_USER.

10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
The “Shell” value is monitored. This value is executed after you log in. * z8 [4 S7 T" Q$ y
% [# ]0 {! ~0 i5 }7 C
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\% q( e/ U1 N1 c) C
All subkeys are monitored, with special attention paid to the “StubPath” value in each subkey. & }3 a' k# S" @! u& G7 Y8 B

12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
All subkeys are monitored, with special attention paid to the “StaticVXD” value in each subkey. - ^; t& t. v# x; G& O5 [
+ X7 I2 L. x, K6 h) r
13. HKEY_CURRENT_USER\Control Panel\Desktop" @+ {  K# W4 b$ O1 ~( `+ i( w6 x
The “SCRNSAVE.EXE” value is monitored. This value is launched when your screen saver activates.
* X2 M$ v, F- l4 [4 Q6 U3 f
14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager7 Y$ M5 x4 {, Q  \7 E
The “BootExecute” value is monitored. Files listed here are Native Applications that are executed before Windows starts. * s. o' l4 V6 X

15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\9 u7 K( u$ w1 A, m8 T# M
Executed whenever a .VBS file (Visual Basic Script) is run. & M7 L* M5 \3 m" x9 X

16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\( z) x: w& K/ X: s# t' N
Executed whenever a .VBE file (Encoded Visual Basic Script) is run. ! Z+ R# p  D% [* _7 [
- N7 L. x4 o0 P2 F& p) y5 Q
17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
Executed whenever a .JS file (Javascript) is run.

18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
Executed whenever a .JSE file (Encoded Javascript) is run. ; N! M8 t7 Q: x9 C0 ?! G6 v* r
0 z2 Q9 Q' G7 d- x" m
19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
Executed whenever a .WSH file (Windows Scripting Host) is run. 1 D1 d) F; I/ s' ^- E

20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\$ @$ v! T& D1 v8 }! C8 N' s
Executed whenever a .WSF file (Windows Scripting File) is run.

21. HKEY_CLASSES_ROOT\exefile\shell\open\command\
Executed whenever a .EXE file (Executable) is run.

22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
Executed whenever a .COM file (Command) is run. $ R0 y3 o" K7 E7 \. Y; S& m

23. HKEY_CLASSES_ROOT\batfile\shell\open\command\  h! p4 J7 ^3 _/ W
Executed whenever a .BAT file (Batch Command) is run. ) f! O0 s* T  k1 _3 W0 t2 |( w& z( n

24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
Executed whenever a .SCR file (Screen Saver) is run.

25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
Executed whenever a .PIF file (Portable Interchange Format) is run. + u1 O" n3 I6 f: I* _' Z

26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Services marked to startup automatically are executed before user login.

27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
Layered Service Providers, executed before user login.

28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline2 B: p. T2 A) ^) H. W( t7 J
Executed when a 16-bit Windows executable is executed.

29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline' O+ U8 B9 {& S. Z" v6 c3 c, l
Executed when a 16-bit DOS application is executed.
# e( H, j0 y9 T- ?3 Y
30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit% L) k2 N& z; v$ g- h1 C
Executed when a user logs in. ! a/ `; m3 k" o1 c
! _" U& K( A4 U0 x
31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
Executed by explorer.exe as soon as it has loaded. 4 g3 ^6 a+ y# \- O
; [% y. C1 K% S7 Q: J# K; N' i
32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run( }7 M  L; g7 n& h
Executed when the user logs in.
: X( ~8 Y) Z% Z6 R
33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Executed when the user logs in.
0 i; _! p3 G3 P$ n
34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\) v# b+ L6 S# m& ?$ v8 B
Subvalues are executed when Explorer initialises. ; q; Y+ d' b: \: f% I
- M2 i8 T) w* q2 k7 y; k$ `
35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.

Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉，实际上，在Windows XP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。

一、当前用户专有的启动文件夹 2 ]- ?' }# a; @5 g0 l* e
  * _0 O  h1 Z5 a# I& ?
这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：\Documents and Settings\<用户名字>\「开始」菜单\程序\启动，其中“<用户名字>”是当前登录的用户帐户名称。 $ d/ I. c& c; j" P- {7 X

二、对所有用户有效的启动文件夹

这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：\Documents and Settings\All Users\「开始」菜单\程序\启动。 2 E" W. u- a2 n
, j: E' m& `. j* Y
三、Load注册键 ' G/ Z! R: R0 b
) S7 l- `: D: T6 ?$ N- U
介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\load。
2 C( D+ j( Y( P: g; h
四、Userinit注册键
1 ~$ H, M) R# z7 K! }8 A, L
位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersionWinlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”（不含引号）。5 f$ g/ P/ X6 x5 F; g5 [+ I
6 N& ^) Q/ A- ?1 p3 N( R' K
" m) H% ]+ T: T# Q2 }' b# n
五、Explorer\Run注册键

和load、Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和$ S$ q6 M3 u4 h$ I- ]( O1 o
HKEY_LOCAL_MACHINE下都有，具体位置是：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoliciesExplorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer\Run。
/ x2 L! @( A2 ~% E+ s9 [
六、RunServicesOnce注册键 / w4 Z, |/ p* H. s/ U& Y. b! M
& }- ~! a# k, F' _8 L
RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是：
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce，
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\RunServicesOnce。

七、RunServices注册键 . ^8 V. z3 w9 h
6 R' s  R, u/ _. ^. p& r
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是：4 t: c" ?4 K# M9 ~* T( z
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices，和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices。

八、RunOnce\Setup注册键
* P7 ~' W( {  F" {% O$ S( i3 i! @. ?
RunOnce\Setup指定了用户登录之后运行的程序，它的位置是：4 s( \- z6 Z8 }7 Q0 \, i
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup，
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\RunOnce\Setup。 1 j9 i. l+ N. M9 w

九、RunOnce注册键
* |# K; k4 H- V+ w. d$ J
安装程序通常用RunOnce键自动运行程序，它的位置在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和- J( h2 t' q- E: H2 Z
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx。 ( t6 t  h8 L* \+ U- Y. _3 I
; e3 R. |+ L: C' o, S$ c) Z& Z9 a
十、Run注册键 - l0 t5 J* n! L
" Y3 d  J' [# B$ N: {
Run是自动运行程序最常用的注册键，位置在：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和, M: m1 z( H( E7 g
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。