我們知道Windows中有自帶的啟動文件夾它是最常見的啟動項目但很多人卻很少注意仔細檢查它如果把程序裝入到這個文件夾中系統啟動就會自動地加載相應程序而且因為它是暴露在外的所以非常容易被外在的因素更改
一具體的位置是開始菜單中的啟動選項
在硬盤上的位置是C:\Documents andSettings\Administrator\開始菜單\程序\啟動;
在注冊表中的位置是
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
二Msconfig
Msconfig是Windows系統中的系統配置實用程序它管的方面可夠寬包括:systeminiwinini啟動項目等同樣裡面也是自啟動程序非常喜歡呆的地方!
Systemini
首先在運行對話框中輸入msconfig啟動系統配置實用程序(下同)找到systemini標簽裡面的shell=…… 就可以用來加載特殊的程序如果你的shell=後面不是默認的explorerexe或者說後面還有一個程序的名字那你可要小心了請仔細檢查相 應的程序是否安全!
Winini
如果我們想加載一個程序hackexe那麼可以在winini中用下面的語句來實現
[windows]
load=hackexe
run=hackeexe
該怎麼做你應該知道了吧!
這一點上使用魔方(點此下載)中的系統設置 啟動項設置一目了然而且可以輕松去除和添加啟動項
啟動項目
系統配置實用程序中的啟動標簽和我們上面講的啟動文件夾並不是同一個東西在系統配置實用程序中的這個啟動項目是Windows系統啟動項目的集合地幾乎所有的啟動項目都能在這裡找到——當然經過特殊編程處理的程序可以通過另外的方法不在這裡顯示
打開啟動標簽啟動項目中羅列的是開機啟動程序的名稱命令下是具體的程序附加命令最後的位置就是該程序在注冊表中的相應位置你可以對可疑的程序進行詳細的路徑命令檢查一旦發現錯誤就可以用下方的禁用來禁止該程序開機時候的加載
一般來講除系統基於硬件部分和內核部分的系統軟件的啟動項目外其他的啟動項目都是可以適當更改的包括殺毒程序特定防火牆程序播放軟件內存管理軟件等也就是說啟動項目中包含了所有我們可見程序的列表你完全可以通過它來管理你的啟動程序
三注冊表中相應的啟動加載項目
注冊表的啟動項目是病毒和木馬程序的最愛!非常多病毒木馬的頑固性就是通過注冊表來實現的所以平常的時候可以下載一個注冊表監視器來監視注冊表的改動魔方(點此下載)的後續版本中也將加入一系列的安全方面的功能用於監視惡意軟件對系統的修改等等特別是在安裝了新軟件或者是運行了新程序的時候一定不要被程序漂亮的外表迷惑一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程序!必要的時候可以根據備份來恢復注冊表這樣的注冊表程序網上很多這裡也就不再詳談了
我們也可以通過手動的方法來檢查注冊表中相應的位置雖然它們很多是和上文講的位置重復但是對網絡安全來講小心永遠不嫌多!
注意同安全清潔的系統注冊表相應鍵進行比較如果發現不一致的地方一定要弄清楚它是什麼東西!不要相信寫在外面的system windowsprogramfiles等名稱誰都知道欲蓋彌彰的道理如果經過詳細的比較可以確定它是不明程序的話不要手軟馬上 刪除!
四Wininitini
我們知道Windows的安裝程序常常調用這個程序來實現安裝程序後的刪除工作所以不要小看它如果在它上面做手腳的話可以說是非常隱蔽非常完美的!
它在系統盤的Windows目錄下用記事本打開它(有時候是wininithak文件)可以看到相應的內容很明顯我們可以在裡面添加相 應的語句來達到修改系統程序或者是刪除程序的目的如果是文件關聯型木馬可以通過winintini來刪除它感染後的原始文件從而達到真正隱藏自己!
五DOS下的戰斗
最後我們說說DOS下的啟動項目加載configsysautoexecbat*bat等文件都可以用特定的編程方式來實現加載程序的目的所以不要以為DOS就是個過時的東西好的DOS下編程往往能達到非常簡單非常實用的功能
From:http://tw.wingwit.com/Article/os/xtgl/201311/9459.html
