<b>启动项详解</b>[Windows安全]
本文“<b>启动项详解</b>[Windows安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
启动项目就是开机的时刻系统会在前台大概后台运行的程序. - 低调求发展! A) S$ [3 z& k: V% S. b+ X$ Q
当Windows(操作系统)完成登录历程,进程表中呈现了很多的进程!Windows在启动的时刻,自动加载了很多程序. - 低调求发展! Y( `3 p' e5 |
很多程序的自启动,给我们带来了很多便利,这是不争的事实,但不是每个自启动的程序对我们都有效;更甚者,大概有病毒或木马在自启动行列!www.t00ls.net! t' L" b% o( v4 @# v
其实Windows2000/XP中的自启动文件,除了从从前系统中遗留下来的Autoexec.bat文件中加载外,按照两个文件夹和9个核心注册表子键来自动加载程序的. - 低调求发展" z+ I, }$ D3 `' `, U7 ] H6 d
[编辑本段]启动项分化
1)"启动"文件夹──最常见的自启动程序文件夹.
它位于系统分区的"documents and Settings-->User-->〔开始〕菜单-->程序"目录下.这时的User指的是登录的用户名. - 低调求发展$ [& I) G# W, s
2)"All Users"中的自启动程序文件夹──另一个常见的自启动程序文件夹.
它位于系统分区的"documents and Settings-->All User-->〔开始〕菜单-->程序"目录下.前面提到的"启动"文件夹运行的是登录用户的自启动程序,而"All Users"中启动的程序是在全部用户下都有效(不管你用什么用户登录).
3)"Load"键值── 一个埋藏得较深的注册表键值. - 低调求发展% P# |& q# {' Q5 B7 i }
位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主键下.T00LS' K1 y# M/ {1 M% R- z% K
4)"Userinit"键值──用户相关 - 低调求发展/ T5 a' i$ ^( }5 L2 ~$ m
它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主键下,也是用于系统启动时加载程序的.普通情形下,其默许值为"userinit.exe",由于该子键的值中可以利用逗号脱离开多个程序,因此,在键值的数值中可加入别的程序. - 低调求发展$ m" i! C) Y5 C0 O v" ?1 ^
5)"Explorer\Run"键值──与"load"和"Userinit"两个键值差别的是,"Explorer\Run"同时位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕两个根键中.
它在两此中的位置辨别为(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下.T00LS1 n5 i0 X* P q I6 K$ ]; K
6)"RunServicesOnce"子键──它在用户登录前及别的注册表自启动程序加载前面加载. - 低调求发展1 I; ~( S8 T1 a6 U/ l. a) J0 u
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下.Security0 ]. I- J! q* a8 m* E: |# t: H+ X
7)"RunServices"子键──它也是在用户登录前及别的注册表自启动程序加载前面加载.
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下. - 低调求发展" y" H5 {: ]" {1 p+ }+ V' z9 b
8)"RunOnce\Setup"子键──其默许值是在用户登录后加载的程序.Security$ Q/ j+ W: V" |! U5 N' T
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下. - 低调求发展5 ^' @1 ]' H N: U" P. C
9)"RunOnce"子键──很多自启动程序要通过RunOnce子键来完成第一次加载.
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下.位于〔HKEY_CURRENT_USER〕根键下的RunOnce子键在用户登录扣及别的注册表的Run键值加载程序前加载相关程序,而位于〔HKEY_LOCAL_MACHINE〕主键下的Runonce子键则是在操作系统处理完别的注册表Run子键及自启动文件夹内的程序后再加载的.在Windows XP中还多出一个〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子键,其原理相同.Security' q$ I( |1 v6 c7 ?) D1 U
10)"Run"子键──目前最常见的自启动程序用于加载的地方.
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下.
此中位于〔HKEY_CURRENT_USER〕根键下的Run键值紧接着〔HKEY_LOCAL_MACHINE〕主键下的Run键值启动,但两个键值都是在"启动"文件夹之前加载. - 低调求发展/ i; S; `0 O" l* ]) _* M8 W
11)再者就是Windows中加载的服务了,它的级别较高,用于最早加载.
其位于〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下,看到了吗,你全部的系统服务加载程序都在这里了!$ n7 q! F- F" ^$ M7 ]' a) C
12)Windows Shell──系统接口
它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字符串范例键值中,基默许值为Explorer.exe,当然大概木马程序会在此加入自身并以木马参数的情势调用资源管理器,以到达拐骗用户的目的. - 低调求发展. {9 J$ ]& }" u0 p' C$ A
13)BootExecute──属于启动履行的一个项目
可以通过它来实现启动Natvice程序,Native程序在驱动程序和系统核心加载后将被加载,此时会话管理器(smss.exe)举行windowsNT用户情势并开始按次序启动native程序
它位于注册表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面,有一个名为BootExecute的多字符串值键,它的默许值是"autocheck autochk *",用于系统启动时的某些自动查抄.这个启动项目里的程序是在系统图形界面完成前就被履行的,所以具有很高的优先级. - 低调求发展( F* X, v5 p) \' q% ?: F
14)战略组加载程序──翻开Gpedit.msc,展开"用户配置——管理模板——系统——登录",便可以看到"在用户登录时运行这些程序"的项目,你可以在里面增添.www.t00ls.net% B- X: u- c9 D3 R1 k7 s7 V, o
在注册表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相对应的键值.
备注:, P0 f# i, @- x0 G" k3 P: ?7 V. D
Home版的XP中没有供应gpedit工具,可到网上搜索并下载补钉.Security: Y8 S9 [+ i0 m1 U {4 K
快速进入启动项
快速进入启动项的办法是在运行中输入 msconfig ,便可看到窗口下的启动项运行项目.
[编辑本段]从系统的启动项可以看到什么
俗话说"万事开首难", 俗话也说"杰出的开首是成功的一半",那么XP系统"开首"也就是"启动"能奉告我们什么那.
1、msconfig
在"开始"-"运行"对话框中输入"msconfig"就翻开"系统配置实用程序".
msconfig是Windows系统中的"系统配置实用程序",它可以自动履行诊断xp系统的配置问题时所用的通例办理步骤.它管的方面可够宽,包含:普通(通例)、system.ini、win.ini、BOOT.INI、服务、启动.它是xp系统底层最早启动的程序,可见它的重要性了.这里面但是自启动程序非常喜好呆的地方.
这里我们只介绍一下"启动"
系统配置实用程序中的"启动"选项和我们在下面讲的"启动"文件夹并非同一个东西,在系统配置实用程序中的这个启动项目是Windows系统启动项目的调集地,几近全部的启动项目部能在这里找到----当然,经过特别编程处理的程序可以通过别的的办法不在这里显示.
翻开"启动"标签,"启动项目"中摆列的是开机启动程序的名称,"号令"下是具体的程序附加号令,最后的"位置"就是该程序在注册表中的呼应位置了,你可以对可疑的程序举行具体的途径、号令查抄,一旦发现错误,便可以用下方的"禁用"来禁止该程序开机时刻的加载.
普通来说,除系统基于硬件部份和内核部份的系统软件的启动项目外,其他的启动项目都是可以得当更改的,包含:杀毒程序、特定防火墙程序、播放软件、内存管理软件等.也就是说,启动项目中包含了全部我们可见的程序的列表,你完好可以通过它来管理你的启动程序,换句话,这里可以全部是空的.
2、注册表中呼应的启动加载项目 - 低调求发展' J$ M% Y+ \1 Q$ ^* x% \2 s7 z$ {4 a
注册表的启动项目是病毒和木马程序的最爱,非常多的病毒木马的顽固性就是通过注册表来实现的,分外是在安装了新的软件程序,一定不要被程序漂亮的外表迷惑,一定要看清楚它的实质是不是木马的假装外壳大概是捆绑程序,必要的时刻可以按照备份来恢复注册表.Security2 c7 d }: k3 y8 v6 V/ h1 X/ W. Y
我们也可以通过手动的办法来查抄注册表中呼应的位置,注意同安全、洁净的系统注册表呼应键举行对比,假如发现不一致的地方,一定要弄清楚它是什么东西!不要相信写在表面的 "system"、
"windows"、"programfiles"等名称,特别是假如你细心察看的话,有些字符是不一样的,比方0和o的辨别,1和l的辨别等,假如经过具体的对比,可以肯定它是不明程序的话,不要手软,即刻删除. - 低调求发展2 b; \! r& z+ G$ S7 b7 f
主要的启动加载键值有T00LS- @- I g h2 |: P6 c3 l0 @
"Explorer\Run"键值──在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下./ }1 {4 A2 r7 [7 p# r. s
"RunServicesOnce"子键──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下.
"RunServices"子键──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下.Security# @# G1 Z# o- ^( Q% X( K
"RunOnce"子键──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下.T00LS7 T0 [) ]- E; u
"Run"子键──在T00LS: M) q7 ]$ O5 Y- a$ [7 H
〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下.
3、"启动"项目T00LS0 O V$ ~+ h. E5 n4 C9 N
在windows的"开始"中有自带的启动文件夹,它是最常见的启动项目.假如在安装程序时设置成开机既启动,这个程序就装入到这个文件夹中,系统启动就会自动地加载呼应程序.www.t00ls.net2 F$ ^- b: K' R3 X, _ H* R$ ?
具体的位置是"开始"菜单中的"全部程序"-"启动"选项.
在硬盘上的位置是:C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动.
在注册表中的位置是: - 低调求发展" d5 _8 i: i$ ~, X; Q- N
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
这里最好为空,并且用户要不时地查抄一下这里有什么不明的东西. www.t00ls.net& S* U0 O6 H) i" `!
以上是“<b>启动项详解</b>[Windows安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |