不同版本的Windows开机自启动的位置略有出入,一般来说,Windows自启动的位置有:自启动文件夹、注册表子键、自动批处理文件、系统配置文件等。如果计算机感染了木马,很有可能就潜伏于其中!本文将说明这些常见的Windows开机自启动的位置及查看方式。
1. 两个启动文件夹
1.1 当前用户专有的启动文件夹
该文件夹是许多应用软件自动启动的常用位置,在当前登录用户下,Windows会自动启动该文件夹内的所有快捷方式1。用户启动文件夹一般在:
系统盘\Documents and Settings\<当前登录的用户账户名称>\「开始」菜单\程序\启动
。
每一个登录用户都对应一个这样的文件夹,会加载其中的自动程序。
1.2 对所有用户有效的启动文件夹
无论登录者是谁,该文件夹下的程序都会自启动。该文件夹一般在:
系统盘\Documents and Settings\All Users\「开始」菜单\程序\启动
。
对应的注册表位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders] Startup=\"%Directory%\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User ShellFolders] Startup=\"%Directory%\"
其中%Directory%
为启动文件夹位置。
2. 注册表子键
2.1 Load
位置:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
Windows XP Professional该子键的位置如下图所示:
2.2 Userinit
通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如userinit.exe、OSA.exe。
位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
Windows XP Professional该子键的位置如下图所示:
2.3 Explorer\Run
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
(对当前用户生效)2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
(对所有用户生效)
2.4 RunServicesOnce
用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
2.5 RunServices
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,启动时间也在用户登录之前。
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices
2.6 RunOnce\Setup
RunOnce\Setup指定了用户登录之后运行的程序。
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
2.7 RunOnce
安装程序通常用RunOnce键自动运行程序。
位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE
下面的RunOnce
键会在用户登录之后立即运行程序,运行时机在其他Run
键指定的程序之前。HKEY_CURRENT_USER
下面的RunOnce
键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。Windows XP系统下,还有注册键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx
2.8 Run
Run是自动运行程序最常用的注册键。
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER
下面的Run
键紧接HKEY_LOCAL_MACHINE
下面的Run
键运行,但两者都在处理“启动”文件夹之前。
2.9 Windows中加载的服务
这里加载的服务具有最高的优先级。
位置:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
这里面的Start
键的值确定了服务的启动状态:2表示自动运行,3表示手动运行,4表示禁止。
2.10 Windows Shell
Windows Shell 位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下面的Shell字符串类型键值中,默认值为Explorer.exe
2.11 BootExecute
属于启动执行的一个项目,系统通过它来实现启动Native程序,Native程序在驱动程序和系统核心加载后将被加载,此时会话管理器(smss.exe)进行Windows NT用户模式并开始顺序启动Native程序。
它位于注册表中HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager
下,有一个BootExecute
键,用于系统启动时的某些自动检查。这个启动项里的程序是在系统图形界面完成前就被执行的,具有很高的优先级。
2.12 组策略加载程序
在Windows 2000/XP/Vista/Windows7中,在“运行”
对话框输入“Gpedit.msc”
打开组策略,展开“用户配置”->“管理模板”->“系统”->“登录”
,就可以看到用户设置的登录时运行的项目,双击“在用户登录时运行这些程序”,单击“显示”按钮,即可查看自启动程序3。相应的键值在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\GroupPolicy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
中可看到。
2.13 其他注册表键值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
3. 自动批处理文件
在Windows 98中,Autoexec.bat
和Winstart.bat
文件中的程序在开机时自动执行。Winstart.bat
是一个系统自启动的批处理文件,主要作用是处理一些需要复制、删除的任务。譬如有些软件会在安装或卸载完之后要求重新启动,就可以利用这个复制和删除一些文件来达到完成任务的目的。如:
@if exist C:WINDOWSTEMPPROC.BAT call C:WINDOWSTEMPPROC.BAT
是执行PROC.BAT文件的命令;call filename.exe > nul
是去除任何在屏幕上的输出。如果巧妙安排完全可以达到修改系统的目的。
而在Windows Me/2000/XP/2003/Vista和Windows 7中,这两个批处理文件默认不被执行。
4. 系统配置文件
在Windows的配置文件(如Config.sys、Win.ini、System.ini、Wininit.ini和Msdos.sys等)也会加载一些自动运行的程序。
4.1 Win.ini文件
打开Win.ini
文件,在[windows]
段下的Run=
和LOAD=
语句后面就可以直接加可执行程序,只要程序名称及路径写在=
后面即可自启动。
注意:load=
与run=
的区别在于,load=
后面的程序在自启动后后台最小化运行,而run=
后程序则会默认正常运行。
4.2 System.ini文件
打开System.ini
文件,找到[boot]
段下shell=
语句,该语句默认为shell=Explorer.exe
,启动的时候运行Windows外壳程序explorer.exe,将可执行程序名称写在shell=Explorer.exe
之后即可自启动。
4.3 Wininit.ini文件
Wininit.ini
文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执行之后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
5. 计划任务文件夹
在默认情况下,“任务计划”
程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”
或“登录时”
,这样也可以实现程序自启动。通过“计划任务”
加载的程序一般会在任务栏系统托盘区里有它们的图标。也可以双击“控制面板”
中的“计划任务”
图标查看其中的项目。
本文主要参考链接如下:
https://blog.csdn.net/zonghua521/article/details/78197994 ↩︎
https://blog.csdn.net/wang740209668/article/details/76065975 ↩︎
https://blog.csdn.net/kl222/article/details/1293541 ↩︎