Board logo

标题: [转贴] Windows-自启动方式完全总结 [打印本页]

作者: youxi01    时间: 2007-11-24 16:08     标题: Windows-自启动方式完全总结

Windows-自启动方式完全总结,供有心人研究.
  1. 一.自启动项目:
  2. 开始---程序---启动,里面添加一些应用程序或者快捷方式.
  3. 这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
  4. 路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动
  5. 二. 第二自启动项目:
  6. 这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
  7. 路径:
  8. C:\Documents and Settings\User\「开始」菜单\程序\启动
  9. 三. 系统配置文件启动:
  10. 对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
  11. 1)WIN.INI启动:
  12. 启动位置(xxx.exe为要启动的文件名称):
  13. [windows]
  14. load=xxx.exe[这种方法文件会在后台运行]
  15. run=xxx.exe[这种方法文件会在默认状态下被运行]
  16. 2)SYSTEM.INI启动:
  17. 启动位置(xxx.exe为要启动的文件名称):
  18. 默认为:
  19. [boot]
  20. Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
  21. 可启动文件后为:
  22. [boot]
  23. Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
  24. 注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!
  25. 3) WININIT.INI启动:
  26. WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
  27. 它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
  28. 文件格式:
  29. [rename]
  30. xxx1=xxx2
  31. 意思是把xxx2文件复制为文件名为xxx1的文件,相当于覆盖xxx1文件
  32. 如果要把某文件删除,则可以用以下命令:
  33. [rename]
  34. nul=xxx2
  35. 以上文件名都必须包含完整路径.
  36. 4) WINSTART.BAT启动:   
  37. 这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
  38. 如:
  39. “@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”
  40. 这里是执行xxxx.BAT文件的意思
  41. 5) USERINIT.INI启动[2/2补充]:
  42. 这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
  43. 6) AUTOEXEC.BAT启动:
  44. 这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
  45. 四. 注册表启动:
  46. 通过注册表来启动,是WINDOWS中使用最频繁的一种.
  47. -----------------------------------------------------------------------------------------------------------------
  48. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
  49. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
  50. HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute
  51. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
  52. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
  53. HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
  54. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
  55. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
  56. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  57. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
  58. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
  59. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
  60. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
  61. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
  62. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
  63. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
  64. HKEY_CURRENT_USER\Control Panel\Desktop
  65. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
  66. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
  67. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  68. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
  69. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
  70. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
  71. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
  72. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
  73. HKLM\SOFTWARE\Classes\Protocols\Filter
  74. HKLM\SOFTWARE\Classes\Protocols\Handler
  75. HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
  76. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
  77. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  78. HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
  79. HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
  80. HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
  81. HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
  82. HKLM\Software\Microsoft\Internet Explorer\Toolbar
  83. HKLM\Software\Microsoft\Internet Explorer\Extensions
  84. HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
  85. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  86. HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
  87. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
  88. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
  89. HKCU\Control Panel\Desktop\Scrnsave.exe
  90. HKLM\System\CurrentControlSet\Services\WinSock\Parameters\Protocol_Catalog9
  91. HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
  92. HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
  93. HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
  94. HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
  95. 五.其他启动方式:
  96. (1).C:\Explorer.exe启动方式:
  97. 这种启动方式很少人知道.
  98. 在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
  99. 搜索顺序如下:
  100. (1).  搜索当前目录.
  101. (2).  如果没有搜索到Explorer.exe则系统会获取
  102. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.
  103. (3).  如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
  104. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值 为:“%SystemRoot%System32;%SystemRoot%”和空.
  105. 所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
  106. (1).  %SystemDrive%(例如C:\)
  107. (2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
  108. (3).  %SystemRoot%(例如C:\WINNT)
  109. 此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
  110. 在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
  111. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
  112. (2).屏幕保护启动方式:
  113. Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
  114. 文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% xxxx.scr
  115. 这种启动方式具有一定危险.
  116. (3).计划任务启动方式:
  117. Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
  118. [开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
  119. (4).AutoRun.inf的启动方式:
  120. Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
  121. Autorun.inf的内容通常是:
  122. [AUTORUN]
  123. OPEN=文件名.exe
  124. ICON=icon(图标文件).ico
  125. 1.如一个木马,为xxx.exe.那么Autorun.inf则可以如下:
  126. ōPEN=Windows\xxx.exe
  127. ICON=xxx.exe
  128. 这时,每次双击C盘的时候就可以运行木马xxx.exe.
  129. 2.如把Autorun.inf放入C盘根目录里,则里面内容为:
  130. ōPEN=D:\xxx.exe
  131. ICON=xxx.exe
  132. 这时,双击C盘则可以运行D盘的xxx.exe
  133. (5).更改扩展名启动方式:
  134. 更改扩展名:  (*.exe)
  135. 如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.
  136. 六.Vxd虚拟设备驱动启动方式:
  137. 应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
  138. 可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
  139. 七.Service[服务]启动方式:
  140. [开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
  141. 在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
  142. 注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  143. 通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.
  144. 八.驱动程序启动方式:
  145. 有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
  146. 1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
  147. 2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
  148. 3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
  149. 06/3/11补充[来自peter_yu]:
  150. windir\Start Menu\Programs\Startup\
  151. User\Startup\
  152. All Users\Startup\
  153. windir\system\iosubsys\
  154. windir\system\vmm32\
  155. windir\Tasks\
  156. c:\explorer.exe
  157. c:\autoexec.bat
  158. c:\config.sys
  159. windir\wininit.ini
  160. windir\winstart.bat
  161. windir\win.ini - [windows] "load"
  162. windir\win.ini - [windows] "run"
  163. windir\system.ini - [boot] "shell"
  164. windir\system.ini - [boot] "scrnsave.exe"
  165. windir\dosstart.bat
  166. windir\system\autoexec.nt
  167. windir\system\config.nt
  168. 06/3/25补充[来自smzd2005]:
  169. Folder.htt
  170. desktop.ini
  171. C:\Documents and Settings\用户名\Application Data\Microsoft\Internet Explorer\Desktop.htt
  172. 06/8/1补充[本人补充(注册表启动方式)]:
  173. HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
  174. HKCU\ftp\shell\open\command
  175. HKCR\ftp\shell\open\command
  176. HKCU\Software\Microsoft\ole
  177. HKCU\Software\Microsoft\Command Processor
  178. HKLM\SOFTWARE\Classes\mailto\shell\open\command
  179. HKLM\SOFTWARE\Classes\PROTOCOLS
  180. HKCR\PROTOCOLS
  181. HKCU\Control Panel\Desktop
  182. HKLM\SOFTWARE\Policies\Microsoft\Windows\System\scrīpts
  183. HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
  184. HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
  185. HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  186. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  187. HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
  188. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
  189. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  190. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
  191. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
  192. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  193. HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
  194. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
  195. HKLM\Software\Microsoft\Active Setup\Installed Components
  196. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
  197. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
  198. 06/8/6补充[本人补充(注册表启动方式)]:
  199. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  200. HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
  201. HKLM\SOFTWARE\Classes\Protocols\Handler
  202. HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
  203. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
复制代码

转自whg: http://www.cnasm.com
作者: 随风    时间: 2007-11-24 21:42

怎么不用 code 扩起来? 不好复制啊!
作者: novaa    时间: 2007-11-25 19:00

哈哈
好东西,以前看过类似的,但是没有这么详细
作者: ranon    时间: 2007-12-22 10:29

晕了晕了 !!!!!!!!
作者: onebat    时间: 2008-8-9 00:39

看不太懂...接着学习.
作者: 小勇12    时间: 2009-1-5 20:13

好资料呀,谢谢楼主的总结
作者: garyng    时间: 2011-11-11 23:58

总结的好。。
写个批处理来加载!




欢迎光临 批处理之家 (http://bbs.bathome.net/) Powered by Discuz! 7.2