Windows 启动方式总结归纳&HIPS注册表防护关键位置
来源:互联网 发布:淘宝怎么加入一淘条件 编辑:程序博客网 时间:2024/05/01 08:28
【原创】Windows 启动方式总结归纳&HIPS注册表防护关键位置[07.4.27更新]
感谢Tkabc,smzd2005,peter_yu,gzhr,zzswans,hwwgo等人指点.
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:/Documents and Settings/Owner/「开始」菜单/程序/启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:/Documents and Settings/User/「开始」菜单/程序/启动
三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(*.exe为要启动的文件名称):
[windows]
load=*.exe[这种方法文件会在后台运行]
run=*.exe[这种方法文件会在默认状态下被运行]
2)SYSTEM.INI启动:
启动位置(*.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
可启动文件后为:
[boot]
Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!
3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
[rename]
*=*2
意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
如果要把某文件删除,则可以用以下命令:
[rename]
nul=*2
以上文件名都必须包含完整路径.
4) WINSTART.BAT启动:
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:/WINDOWS/TEMP*.BAT call C:/WINDOWS/TEMP*.BAT”
这里是执行*.BAT文件的意思
5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
四. 注册表启动:(07.4.27整理更新)
通过注册表来启动,是WINDOWS中使用最频繁的一种.
-----------------------------------------------------------------------------------------------------------------
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/
HKLM/SYSTEM/ControlSet001/Control/Session Manager/BootExecute
HKCU/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/User/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/
HKU/.Default/Software/Microsoft/Windows/CurrentVersion/Run/
HKU/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/
HKLM/System/CurrentControlSet/Services/VxD/
HKCU/Control Panel/Desktop
HKLM/System/CurrentControlSet/Services/
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/run
HKLM/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad/
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/load
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKLM/SOFTWARE/Classes/Protocols/Filter
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
HKLM/Software/Classes/Folder/Shellex/ColumnHandlers
HKCU/Software/Microsoft/Internet Explorer/UrlSearchHooks
HKLM/Software/Microsoft/Internet Explorer/Toolbar
HKLM/Software/Microsoft/Internet Explorer/Extensions
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHost
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKLM/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKLM/SYSTEM/CurrentControlSet/Control/MPRServices
HKCU/ftp/shell/open/command
HKCR/ftp/shell/open/command
HKCU/Software/Microsoft/ole
HKCU/Software/Microsoft/Command Processor
HKLM/SOFTWARE/Classes/mailto/shell/open/command
HKCR/PROTOCOLS
HKCU/Control Panel/Desktop
HKLM/SOFTWARE/Policies/Microsoft/Windows/System/Scripts
HKLM/SOFTWARE/Microsoft/Code Store Database/Distribution Units
HKLM/SYSTEM/CurrentControlSet/Services/WinSock2
HKLM/SYSTEM/CurrentControlSet/Services/WinSock
HKLM/SYSTEM/CurrentControlSet/Control/Lsa
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/App Management/ARPCache
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders
HKLM/Software/Microsoft/Windows/CurrentVersion/explorer/Shell folders/Startup
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/runServices
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/System/CurrentControlSet/Control/Session Manager/KnownDlls
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/System/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/StartupPrograms
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
HKLM/Software/Microsoft/Command Processor
HKEY_CLASSES_ROOT/*/shellex/ContextMenuHandlers
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Accessibility/Utility Manager registry
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SecurityProviders
病毒经常会修改的注册表位置:
HKLM/SOFTWARE/Microsoft/Ras
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Network
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/User Agent/Post Platform
HKCU/Software/Microsoft/Security Center
HKLM/Software/Microsoft/Security Center
HKLM/SOFTWARE/Microsoft/Netcache
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/HideFileExt
HKCU/Software/Microsoft/Internet explorer/Main//*page
HKCU/Software/Microsoft/Internet explorer/Main//Enable Browser Extensions
HKCU/Software/Microsoft/Internet explorer/Main/Featurecontrol
HKCU/Software/Microsoft/Internet explorer/Menuext
HKCU/Software/Microsoft/Internet explorer/Styles
HKLM/Software/Clients/Startmenuinternet
HKLM/Software/Microsoft/Code store database/Distribution units
HKCU/Software/Microsoft/Internet explorer/Abouturls
HKLM/Software/Microsoft/Internet explorer/Activex compatibility
HKCU/Software/Microsoft/Internet Explorer/Explorer Bars
HKLM/Software/Microsoft/Internet explorer/Main//*page
HKLM/Software/Microsoft/Internet explorer/Styles
HKLM/Software/Microsoft/Internet explorer/Menuext
HKLM/Software/Microsoft/Internet explorer/Plugins
HKLM/Software/Microsoft/Windows/Currentversion/Explorer/Browser helpr objects
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/*zones
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Safesites
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Url
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Zonemap/Protocoldefaults
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Zonemap/Domains
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Zonemap/Ranges
HKLM/SYSTEM/ControlSet*/Control/SafeBoot
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2
HKLM/Software/Microsoft/Windows/Currentversion/Policies/System/
HKCU/Software/Policies/Microsoft/Internet Explorer/Control panel/homepage
五.其他启动方式:
(1).C:/Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
(1). 搜索当前目录.
(2). 如果没有搜索到Explorer.exe则系统会获取
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]的信息获得相对路径.
(3). 如果还是没有文件系统则会获取[HKEY_CURRENT_USER/Environment/Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]和[HKEY_CURRENT_USER/Environment/Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
(1). %SystemDrive%(例如C:/)
(2). %SystemRoot%System32(例如C:/WINNT/SYSTEM32)
(3). %SystemRoot%(例如C:/WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
这种启动方式具有一定危险.
(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=*.exe
ICON=icon(图标文件).ico
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
OPEN=Windows/*.exe
ICON=*.exe
这时,每次双击C盘的时候就可以运行*.exe.
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:/*.exe
ICON=*.exe
这时,双击C盘则可以运行D盘的*.exe
(5).更改扩展名启动方式:
更改扩展名:(*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.
六.Vxd虚拟设备驱动启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.
八.驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
06/3/11补充[来自peter_yu]:
windir/Start Menu/Programs/Startup/
User/Startup/
All Users/Startup/
windir/system/iosubsys/
windir/system/vmm32/
windir/Tasks/
c:/explorer.exe
c:/autoexec.bat
c:/config.sys
windir/wininit.ini
windir/winstart.bat
windir/win.ini - [windows] "load"
windir/win.ini - [windows] "run"
windir/system.ini - [boot] "shell"
windir/system.ini - [boot] "scrnsave.exe"
windir/dosstart.bat
windir/system/autoexec.nt
windir/system/config.nt
06/3/25补充[来自smzd2005]:
Folder.htt
desktop.ini
C:/Documents and Settings/用户名/Application Data/Microsoft/Internet Explorer/Desktop.htt
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:/Documents and Settings/Owner/「开始」菜单/程序/启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:/Documents and Settings/User/「开始」菜单/程序/启动
三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(*.exe为要启动的文件名称):
[windows]
load=*.exe[这种方法文件会在后台运行]
run=*.exe[这种方法文件会在默认状态下被运行]
2)SYSTEM.INI启动:
启动位置(*.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
可启动文件后为:
[boot]
Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!
3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
[rename]
*=*2
意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
如果要把某文件删除,则可以用以下命令:
[rename]
nul=*2
以上文件名都必须包含完整路径.
4) WINSTART.BAT启动:
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
“@if exist C:/WINDOWS/TEMP*.BAT call C:/WINDOWS/TEMP*.BAT”
这里是执行*.BAT文件的意思
5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.
6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.
四. 注册表启动:(07.4.27整理更新)
通过注册表来启动,是WINDOWS中使用最频繁的一种.
-----------------------------------------------------------------------------------------------------------------
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/
HKLM/SYSTEM/ControlSet001/Control/Session Manager/BootExecute
HKCU/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/User/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/
HKU/.Default/Software/Microsoft/Windows/CurrentVersion/Run/
HKU/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/
HKLM/System/CurrentControlSet/Services/VxD/
HKCU/Control Panel/Desktop
HKLM/System/CurrentControlSet/Services/
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/run
HKLM/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad/
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/load
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/
HKLM/SOFTWARE/Classes/Protocols/Filter
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
HKLM/Software/Classes/Folder/Shellex/ColumnHandlers
HKCU/Software/Microsoft/Internet Explorer/UrlSearchHooks
HKLM/Software/Microsoft/Internet Explorer/Toolbar
HKLM/Software/Microsoft/Internet Explorer/Extensions
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHost
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKLM/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKLM/SYSTEM/CurrentControlSet/Control/MPRServices
HKCU/ftp/shell/open/command
HKCR/ftp/shell/open/command
HKCU/Software/Microsoft/ole
HKCU/Software/Microsoft/Command Processor
HKLM/SOFTWARE/Classes/mailto/shell/open/command
HKCR/PROTOCOLS
HKCU/Control Panel/Desktop
HKLM/SOFTWARE/Policies/Microsoft/Windows/System/Scripts
HKLM/SOFTWARE/Microsoft/Code Store Database/Distribution Units
HKLM/SYSTEM/CurrentControlSet/Services/WinSock2
HKLM/SYSTEM/CurrentControlSet/Services/WinSock
HKLM/SYSTEM/CurrentControlSet/Control/Lsa
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/App Management/ARPCache
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders
HKLM/Software/Microsoft/Windows/CurrentVersion/explorer/Shell folders/Startup
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/runServices
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/System/CurrentControlSet/Control/Session Manager/KnownDlls
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/System/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/StartupPrograms
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
HKLM/Software/Microsoft/Command Processor
HKEY_CLASSES_ROOT/*/shellex/ContextMenuHandlers
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Accessibility/Utility Manager registry
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SecurityProviders
病毒经常会修改的注册表位置:
HKLM/SOFTWARE/Microsoft/Ras
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Network
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/User Agent/Post Platform
HKCU/Software/Microsoft/Security Center
HKLM/Software/Microsoft/Security Center
HKLM/SOFTWARE/Microsoft/Netcache
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/HideFileExt
HKCU/Software/Microsoft/Internet explorer/Main//*page
HKCU/Software/Microsoft/Internet explorer/Main//Enable Browser Extensions
HKCU/Software/Microsoft/Internet explorer/Main/Featurecontrol
HKCU/Software/Microsoft/Internet explorer/Menuext
HKCU/Software/Microsoft/Internet explorer/Styles
HKLM/Software/Clients/Startmenuinternet
HKLM/Software/Microsoft/Code store database/Distribution units
HKCU/Software/Microsoft/Internet explorer/Abouturls
HKLM/Software/Microsoft/Internet explorer/Activex compatibility
HKCU/Software/Microsoft/Internet Explorer/Explorer Bars
HKLM/Software/Microsoft/Internet explorer/Main//*page
HKLM/Software/Microsoft/Internet explorer/Styles
HKLM/Software/Microsoft/Internet explorer/Menuext
HKLM/Software/Microsoft/Internet explorer/Plugins
HKLM/Software/Microsoft/Windows/Currentversion/Explorer/Browser helpr objects
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/*zones
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Safesites
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Url
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Zonemap/Protocoldefaults
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Zonemap/Domains
HKLM/Software/Microsoft/Windows/Currentversion/Internet settings/Zonemap/Ranges
HKLM/SYSTEM/ControlSet*/Control/SafeBoot
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2
HKLM/Software/Microsoft/Windows/Currentversion/Policies/System/
HKCU/Software/Policies/Microsoft/Internet Explorer/Control panel/homepage
五.其他启动方式:
(1).C:/Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
(1). 搜索当前目录.
(2). 如果没有搜索到Explorer.exe则系统会获取
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]的信息获得相对路径.
(3). 如果还是没有文件系统则会获取[HKEY_CURRENT_USER/Environment/Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]和[HKEY_CURRENT_USER/Environment/Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
(1). %SystemDrive%(例如C:/)
(2). %SystemRoot%System32(例如C:/WINNT/SYSTEM32)
(3). %SystemRoot%(例如C:/WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.
(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
这种启动方式具有一定危险.
(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.
(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
[AUTORUN]
OPEN=*.exe
ICON=icon(图标文件).ico
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
OPEN=Windows/*.exe
ICON=*.exe
这时,每次双击C盘的时候就可以运行*.exe.
2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:/*.exe
ICON=*.exe
这时,双击C盘则可以运行D盘的*.exe
(5).更改扩展名启动方式:
更改扩展名:(*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.
六.Vxd虚拟设备驱动启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.
七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.
八.驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]
06/3/11补充[来自peter_yu]:
windir/Start Menu/Programs/Startup/
User/Startup/
All Users/Startup/
windir/system/iosubsys/
windir/system/vmm32/
windir/Tasks/
c:/explorer.exe
c:/autoexec.bat
c:/config.sys
windir/wininit.ini
windir/winstart.bat
windir/win.ini - [windows] "load"
windir/win.ini - [windows] "run"
windir/system.ini - [boot] "shell"
windir/system.ini - [boot] "scrnsave.exe"
windir/dosstart.bat
windir/system/autoexec.nt
windir/system/config.nt
06/3/25补充[来自smzd2005]:
Folder.htt
desktop.ini
C:/Documents and Settings/用户名/Application Data/Microsoft/Internet Explorer/Desktop.htt
- Windows 启动方式总结归纳&HIPS注册表防护关键位置
- Windows 注册表开机启动总结
- 常用Windows xp 注册表关键位置大全 (易语言版)
- 注册表常用操作归纳总结
- Windows注册表中程序自启动的位置
- Windows用户信息注册表位置
- Windows中在注册表,以及位于其他位置的自启动信息
- windows应用开发由浅入深(三)利用注册表将程序启动时窗口位置设置为上次关闭的位置
- Windows-自启动方式完全总结!
- Windows自启动方式完全总结
- Windows自启动方式完全总结
- Windows自启动方式完全总结
- Windows-自启动方式完全总结
- Windows自启动方式完全总结
- HIPS(程序动作拦截器)规则割裂防护体系
- 程序自启动,注册表键值的位置
- 离线方式读写WINDOWS注册表
- Windows系统证书在注册表中的位置
- codesmith 实体类,数据操作类
- Java Annotation手册
- 3-(E-teller)使用SQL语句
- 开发出具有良好的视觉效果的应用程序
- Osip2和eXosip协议栈的简析(转载)
- Windows 启动方式总结归纳&HIPS注册表防护关键位置
- sqlserver 海量数据导入的最快方法
- sql----用if...then...elseif...,,,2.用case...when...then...
- Visual C++.NET编程(1)
- MySql与Java的时间类型
- 关于ModifyStyle
- loadimage的问题!!!
- ASSERT函数(转贴 )
- Heritrix使用的初步总结
