社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 556阅读
  • 0回复

Windows 启动方式总结归纳

楼层直达
级别: 光盘初级
发帖
202
飞翔币
335
威望
141
飞扬币
2155
信誉值
0
  感谢Tkabc,smzd2005,peter_yu,gzhr,zzswans等人指点.

  
作者:Cons - 霏凡论坛 安全区精英

  -----------------------------------------------------------------------------------------------------------

  一.自启动项目:

  开始---程序---启动,里面添加一些应用程序或者快捷方式.

  这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.

  路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动

  相关补充:个人不完全同意作者的观点。例如常用的批处理文件-"*.bat"在经过隐藏后在启动项里一般是不显示的。如果改为系统文件的属性危害也不见得输给普通的木马。

  举个例子:比如新建一个BAT 内容为:shutdown/a 添加到启动,这样一般情况下你是进不了系统的。

  -----------------------------------------------------------------------------------------------------------

  二. 第二自启动项目:

  这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.

  路径:

  C:\Documents and Settings\User\「开始」菜单\程序\启动

  三. 系统配置文件启动:

  对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.

  1)WIN.INI启动:

  启动位置(*.exe为要启动的文件名称):

  [windows]

  load=*.exe[这种方法文件会在后台运行]

  run=*.exe[这种方法文件会在默认状态下被运行]

  2)SYSTEM.INI启动:

  启动位置(*.exe为要启动的文件名称):

  默认为:

  [boot]

  Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]

  可启动文件后为:

  [boot]

  Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]

  注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!

  相关补充:现在的不少病毒通过注入注册表里的"Shell=Explorer.exe" 启动额外的"exe或dll"来启动运行病毒的目的。

  ------------------------------------------------------------------------------------------------------------

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "Shell"="Explorer.exe"

  "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

  "VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""

  ------------------------------------------------------------------------------------------------------------

  3) WININIT.INI启动:

  WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.

  它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.

  文件格式:

  [rename]

  *=*2

  意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件

  如果要把某文件删除,则可以用以下命令:

  [rename]

  nul=*2

  以上文件名都必须包含完整路径.

  4) WINSTART.BAT启动:

  这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.

  如:

  “@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”

  这里是执行*.BAT文件的意思

  5) USERINIT.INI启动[2/2补充]:

  这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.

  6) AUTOEXEC.BAT启动:

  这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.

  四. 注册表启动:(2006.10.3整理更新

  通过注册表来启动,是WINDOWS中使用最频繁的一种.

  ------------------------------------------------------------------------------------------------------------

  相对被病毒篡改较多的几项用颜色标识

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

  HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute

  HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

  HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

  HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

  HKLM\System\CurrentControlSet\Services\VxD\

  HKCU\Control Panel\Desktop

  HKLM\System\CurrentControlSet\Services\

  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

  HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

  HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

  HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

  HKLM\SOFTWARE\Classes\Protocols\Filter

  HKLM\SOFTWARE\Classes\Protocols\Handler

  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

  HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

  HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

  HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

  HKLM\Software\Microsoft\Internet Explorer\Toolbar

  HKLM\Software\Microsoft\Internet Explorer\Extensions

  HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

  HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

  HKLM\SYSTEM\CurrentControlSet\Control\MPRServices

  HKCU\ftp\shell\open\command

  HKCR\ftp\shell\open\command

  HKCU\Software\Microsoft\ole

  HKCU\Software\Microsoft\Command Processor

  HKLM\SOFTWARE\Classes\mailto\shell\open\command

  HKCR\PROTOCOLS

  HKCU\Control Panel\Desktop

  HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts

  HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

  HKLM\SYSTEM\CurrentControlSet\Services\WinSock2

  HKLM\SYSTEM\CurrentControlSet\Services\WinSock

  HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

  HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices

  HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

  HKLM\SOFTWARE\Classes\Protocols\Handler

  HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

  HKLM\Software\Microsoft\Command Processor

  添加一些病毒经常会修改的地方:

  HKLM\SOFTWARE\Microsoft\Ras

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform

  HKCU\Software\Microsoft\Security Center

  HKLM\Software\Microsoft\Security Center

  HKLM\SOFTWARE\Microsoft\Netcache

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

  HKCU\Software\Microsoft\Internet explorer\Main\\*page

  HKCU\Software\Microsoft\Internet explorer\Main\\Enable Browser Extensions

  HKCU\Software\Microsoft\Internet explorer\Main\Featurecontrol

  HKCU\Software\Microsoft\Internet explorer\Menuext

  HKCU\Software\Microsoft\Internet explorer\Styles

  HKLM\Software\Clients\Startmenuinternet

  HKLM\Software\Microsoft\Code store database\Distribution units

  HKCU\Software\Microsoft\Internet explorer\Abouturls

  HKLM\Software\Microsoft\Internet explorer\Activex compatibility

  HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

  HKLM\Software\Microsoft\Internet explorer\Main\\*page

  HKLM\Software\Microsoft\Internet explorer\Styles

  HKLM\Software\Microsoft\Internet explorer\Menuext

  HKLM\Software\Microsoft\Internet explorer\Plugins

  HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Browser helpr objects

  HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\*zones

  HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Safesites

  HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Url

  HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Protocoldefaults

  HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Domains

  HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges

  -----------------------------------------------------------------------------------------------------------

  五.其他启动方式:

  (1).C:\Explorer.exe启动方式:

  这种启动方式很少人知道.

  在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.

  搜索顺序如下:

  (1).  搜索当前目录.

  (2).  如果没有搜索到Explorer.exe则系统会获取

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.

  (3).  如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.

  所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:

  (1).  %SystemDrive%(例如C:\)

  (2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32)

  (3).  %SystemRoot%(例如C:\WINNT)

  此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.

  在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.

  -----------------------------------------------------------------------------------------------------------

  (2).屏幕保护启动方式:

  Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.

  文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr

  这种启动方式具有一定危险.

  -----------------------------------------------------------------------------------------------------------

  (3).计划任务启动方式:

  Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.

  [开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.

  -----------------------------------------------------------------------------------------------------------

  (4).AutoRun.inf的启动方式:

  Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.

  Autorun.inf的内容通常是:

  [AUTORUN]

  OPEN=*.exe

  ICON=icon(图标文件).ico

  1.如一个木马,为*.exe.那么Autorun.inf则可以如下:

  OPEN=Windows\*.exe

  ICON=*.exe

  这时,每次双击C盘的时候就可以运行*.exe.

  2.如把Autorun.inf放入C盘根目录里,则里面内容为:

  OPEN=D:\*.exe

  ICON=*.exe

  这时,双击C盘则可以运行D盘的*.exe

  (5).更改扩展名启动方式:

  更改扩展名:(*.exe)

  如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.

  -----------------------------------------------------------------------------------------------------------

  六.Vxd虚拟设备驱动启动方式:

  应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).

  可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.

  -----------------------------------------------------------------------------------------------------------

  七.Service[服务]启动方式:

  [开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.

  在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).

  注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

  通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.

  -----------------------------------------------------------------------------------------------------------

  八.驱动程序启动方式:

  有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.

  1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]

  2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]

  3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]

  -----------------------------------------------------------------------------------------------------------

  06/3/11补充[来自peter_yu]:

  windir\Start Menu\Programs\Startup\

  User\Startup\

  All Users\Startup\

  windir\system\iosubsys\

  windir\system\vmm32\

  windir\Tasks\

  c:\explorer.exe

  c:\autoexec.bat

  c:\config.sys

  windir\wininit.ini

  windir\winstart.bat

  windir\win.ini - [windows] "load"

  windir\win.ini - [windows] "run"

  windir\system.ini - [boot] "shell"

  windir\system.ini - [boot] "scrnsave.exe"

  windir\dosstart.bat

  windir\system\autoexec.nt

  windir\system\config.nt

  06/3/25补充[来自smzd2005]:

  Folder.htt

  desktop.ini

  C:\Documents and Settings\用户名\Application Data\Microsoft\Internet Explorer\Desktop.htt

[ 本帖最后由 flyingfish42 于 2007-6-27 10:57 编辑 ]