详解Windows中自启动程序的藏身之处

简介:
很多计算机初级用户认为管好了「开始→程序→启动」就万事大吉,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,而且一些恶意软件或流氓软件的自启动方式还非常隐蔽,想找出并清理他们确实有点麻烦。
  仅仅依靠软件去清理是不够的,我们还要主动出击,主动了解Windows中的自启动机制,这样才能知己知彼,百战不殆。
一、当前用户专有的启动档案夹
  这是许多应用软件自动启动的常用位置,Windows自动启动放入该档案夹的所有建立捷径。用户启动档案夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中「<用户名字>」是当前登入的用户账户名称。
二、对所有用户有效的启动档案夹
  这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登入系统,放入该档案夹的建立捷径总是自动启动 ——这是它与用户专有的启动档案夹的区别所在。该档案夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。
三、Load注册键
  介绍该注册键的数据不多,实际上它也能够自动启动程序。位置:
  HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\
load。
四、Userinit注册键
  位置:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Userinit。
  这里也能够使系统启动时自动启始化程序。通常该注册键下面有一个userinit.exe,这个键允许指定用逗号分隔的多个程序,例如「userinit.exe,OSA.exe」(不含引号)。
五、Explorer\Run注册键
  和load、 Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run。
六、RunServicesOnce注册键
  RunServicesOnce 注册键用来启动服务程序,启动时间在用户登入之前,而且先于其它通过注册键启动的程序。RunServicesOnce注册键的位置是:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServicesOnce。
七、RunServices注册键
  RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后执行,但两者都在用户登入之前。RunServices的位置是:
  HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices。
八、RunOnce\Setup注册键
  RunOnce\Setup 指定了用户登入之后执行的程序,它的位置是:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\Setup。
九、RunOnce注册键
  安装程序通常用RunOnce键自动执行程序,它的位置在
  HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\RunOnce。
  HKEY_LOCAL_MACHINE下面的 RunOnce键会在用户登入之后立即执行程序,执行时机在其它Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其它Run键以及「启动」数据夹的内容之后执行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
十、Run注册键
  Run是自动执行程序最常用的注册键,位置在:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run。

  HKEY_CURRENT_USER下面的Run键紧接 HKEY_LOCAL_MACHINE下面的Run键执行,但两者都在处理「启动」数据夹之前。



本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/362134,如需转载请自行联系原作者

相关文章
|
3月前
|
Windows Python
python获取windows机子上运行的程序名称
python获取windows机子上运行的程序名称
|
2月前
|
安全 API C#
C# 如何让程序后台进程不被Windows任务管理器强制结束
C# 如何让程序后台进程不被Windows任务管理器强制结束
65 0
|
3月前
|
安全 网络安全 API
基于WMI更新Windows系统信息采集程序sysInfo的一些收获
基于WMI更新Windows系统信息采集程序sysInfo的一些收获
|
3月前
|
小程序 Windows
MASM32编写的程序在Windows 7,10下运行正常,但在Win XP下运行时只闻其声不见其形的故障
MASM32编写的程序在Windows 7,10下运行正常,但在Win XP下运行时只闻其声不见其形的故障
|
4月前
|
JavaScript Windows
electron程序运行在某些 windows 上白屏
electron程序运行在某些 windows 上白屏
|
4月前
|
Linux Windows Python
最新 Windows\Linux 后台运行程序注解
本文介绍了在Windows和Linux系统后台运行程序的方法,包括Linux系统中使用nohup命令和ps命令查看进程,以及Windows系统中通过编写bat文件和使用PowerShell启动隐藏窗口的程序,确保即使退出命令行界面程序也继续在后台运行。
|
6月前
【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
|
7月前
|
Windows
LabVIEW启用/禁用Windows屏幕保护程序
LabVIEW启用/禁用Windows屏幕保护程序
71 4
LabVIEW启用/禁用Windows屏幕保护程序
|
6月前
|
Windows
windows系统bat批处理 开机一键多个程序
windows系统bat批处理 开机一键多个程序
88 1
|
6月前
|
C++ UED 开发者
逆向学习 MFC 篇:视图分割和在 C++ 的 Windows 窗口程序中添加图标的方法
逆向学习 MFC 篇:视图分割和在 C++ 的 Windows 窗口程序中添加图标的方法
81 0