查看: 1816|回复: 1
收起左侧

找出随Windows自启动程序的『十大藏身之处』

[复制链接]
xianjue114 该用户已被删除
发表于 2007-6-16 08:32:31 | 显示全部楼层 |阅读模式
Windows启动时通常会有一大堆程序自动启动。
    不要以为管好了「开始→程序→启动」窗体就万事大吉,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,而且一些恶意软件或流氓软件的自启动方式还非常隐蔽,想找出并清理他们确实有点麻烦。
    之前『异次元の世界』就介绍过一个“Autoruns启动项目管理器”,它能非常方便地找出所有随Windows启动的程序,还有 360安全卫士 能很好地查杀恶意、流氓软件。
    可是,有时读者们还是希望自己动手,并把它们自启动的方法弄清楚,下文就告诉你自动启动程序藏身的最重要的两个文件和八个注册键吧。

一、当前用户专有的启动档案夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该档案夹的所有建立捷径。用户启动档案夹一般在:\Documents and Settings\<用户名字>\「开始」窗体\程序\启动,其中「<用户名字>」是当前登入的用户账户名称。

二、对所有用户有效的启动档案夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登入系统,放入该档案夹的建立捷径总是自动启动——这是它与用户专有的启动档案夹的区别所在。该档案夹一般在:\Documents and Settings\All Users\「开始」窗体\程序\启动。

三、Load注册键
介绍该注册键的数据不多,实际上它也能够自动启动程序。位置:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\load。

四、Userinit注册键
位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Userinit。这里也能够使系统启动时自动启始化程序。通常该注册键下面有一个userinit.exe,这个键允许指定用逗号分隔的多个程序,例如「userinit.exe,OSA.exe」(不含引号)。

五、Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和
HKEY_LOCAL_MACHINE下都有,具体位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer\Run。

六、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登入之前,而且先于其它通过注册键启动的程序。RunServicesOnce注册键的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce,
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServicesOnce。

七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后执行,但两者都在用户登入之前。RunServices的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices。

八、RunOnce\Setup注册键
RunOnce\Setup指定了用户登入之后执行的程序,它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup,
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce\Setup。

九、RunOnce注册键
安装程序通常用RunOnce键自动执行程序,它的位置在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登入之后立即执行程序,执行时机在其它Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其它Run键以及「启动」数据夹的内容之后执行。如果是XP,你还需要检查一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx。

十、Run注册键
Run是自动执行程序最常用的注册键,位置在:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键执行,但两者都在处理「启动」数据夹之前。
看到这里,你大概能明白那些程序是如何自己启动的了吧。。。

本文转载自『异次元の世界』http://www.x-force.cn/article.asp?id=266
KONGKA
发表于 2007-6-21 10:04:17 | 显示全部楼层
谢谢分享!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 20:21 , Processed in 0.118069 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表