回来主页

Windows自发动办法彻底总结大全

时刻:2013-08-27 23:23来历:manbetx万博官网网 www.fwnyp.com修正:麦田守望者

一.自发动项目:
开端---程序---发动,里边增加一些运用程序或许快捷办法.
这是Windows 里边最常见,以及运用最简略的发动办法,假如想一些文件开机时分发动,那么也可以将他拖入里边或许树立快捷办法拖入里边.现在一般的病毒不会采纳这样的发动办法.也有单个会.
途径:C:\Documents and Settings\Owner\「开端」菜单\程序\发动

二. 第二自发动项目:
这个是很明显却被人们所疏忽的一个,运用办法和榜首自发动目录是彻底相同的, 只需找到该目录,将所需求发动的文件拖放进去就可以到达发动的意图.
途径:
C:\Documents and Settings\User\「开端」菜单\程序\发动

三. 体系配置文件发动:
关于体系配置文件,许多人必定很生疏,许多病毒都是以这种办法发动.

1)WIN.INI发动:
发动方位(xxx.exe为要发动的文件称号):
[windows]
load=xxx.exe[这种办法文件会在后台运转]
run=xxx.exe[这种办法文件会在默许状态下被运转]

2)SYSTEM.INI发动:
发动方位(xxx.exe为要发动的文件称号):
默许为:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程序办理器或许Windows资源办理器,归于正常]
可发动文件后为:
[boot]
Shell= Explorer.exe xxx.exe [现在许多病毒会选用此发动办法,跟着Explorer发动, 隐蔽性很好]
留意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的发动只能发动一个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!

3) WININIT.INI发动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows装置初始化东西.
它会在体系装载Windows之前让体系履行一些指令,包括仿制,删去,重命名等,以完结更新文件的意图.
文件格局:
[rename]
xxx1=xxx2
意思是把xxx2文件仿制为文件名为xxx1的文件,适当于掩盖xxx1文件
假如要把某文件删去,则可以用以下指令:
[rename]
nul=xxx2
以上文件名都必须包括完好途径.

4) WINSTART.BAT发动:
这是体系发动的批处理文件,首要用来仿制和删去文件.如一些软件卸载后会剩下一些残留物在体系,这时它的作用就来了.
如:
“@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”
这里是履行xxxx.BAT文件的意思

5) USERINIT.INI发动[2/2弥补]:
这种发动办法也会被一些病毒作为发动办法,与SYSTEM.INI相同.

6) AUTOEXEC.BAT发动:
这个是常用的发动办法.病毒会经过它来做一些动作. 在AUTOEXEC.BAT文件中会包括有恶意代码。如format c: /y 等等其它.

四. 注册表发动:
经过注册表来发动,是WINDOWS中运用最频频的一种.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
HKEY_CURRENT_USER\Control Panel\Desktop
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Services\WinSock\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

五.其他发动办法:
(1).C:\Explorer.exe发动办法:
这种发动办法很少人知道.
在Win9X下,因为SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的称号,而并没有指定绝对途径,所以Win9X会查找Explorer.exe文件.
查找次序如下:
(1).  查找当时目录.
(2).  假如没有查找到Explorer.exe则体系会获取
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息取得相对途径.
(3).  假如仍是没有文件体系则会获取[HKEY_CURRENT_USER\Environment\Path]的信息取得相对途径.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对途径的键值 为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,因为当体系发动时,“当时目录”肯定是%SystemDrive%(体系驱动器),这样体系查找Explorer.EXE的次序应该是:
(1).  %SystemDrive%(例如C:\)
(2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
(3).  %SystemRoot%(例如C:\WINNT)
此刻,假如把一个名为Explorer.EXE的文件放到体系根目录下,这样在每次发动的时分体系就会主动先发动根目录下的Explorer.exe而不发动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000愈加留意了Explorer.exe的文件名放置的方位,把体系发动时要运用的外壳文件(Explorer.exe)的称号放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软现已更改了这一办法.

(2).屏幕维护发动办法:
Windows 屏幕维护程序是一个*.scr文件,是一个可履行PE文件,假如把屏幕维护程序*.scr重命名为*.exe的文件,这个程序依然可以正常发动,相似的*.exe文件更名为*.scr文件也依然可以正常发动.
文件途径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% xxxx.scr
这种发动办法具有必定风险.

(3).计划任务发动办法:
Windows 的计划任务功用是指某个程序在某个特指时刻发动.这种发动办法隐蔽性适当不错.
[开端]---[程序]---[附件]---[体系东西]---[计划任务],依照一步步次序操作即可.

(4).AutoRun.inf的发动办法:
Autorun.inf这个文件呈现于光盘加载的时分,放入光盘时,光驱会依据这个文件内容来确认是否翻开光盘里边的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=文件名.exe
ICON=icon(图标文件).ico
1.如一个木马,为xxx.exe.那么Autorun.inf则可以如下:
ōPEN=Windows\xxx.exe
ICON=xxx.exe
这时,每次双击C盘的时分就可以运转木马xxx.exe.

2.如把Autorun.inf放入C盘根目录里,则里边内容为:
ōPEN=D:\xxx.exe
ICON=xxx.exe
这时,双击C盘则可以运转D盘的xxx.exe

(5).更改扩展名发动办法:
更改扩展名: (*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来发动.

六.Vxd虚拟设备驱动发动办法:
运用程序经过动态加载的VXD虚拟设备驱动,而去的Windows 9X体系的控制权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来办理例如硬件设备或许已装置软件等体系资源的32位可履行程序,使得几个运用程序可以一起运用这些资源.

------分隔线----------------------------
标签(Tag):windows8 windows教程 windows技巧 windowsxp
------分隔线----------------------------
引荐内容
猜你感兴趣