注册表的启动项详解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
手工杀毒拾零——注册表中的自启动项及其详解
1、
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\load
这个,load是指“值”,在注册表中,位于右边窗口的“名称”一列。一般新安装的操作系统,他的数据是空的。病毒可以把自身路径写到他的数据里,这样实现开机自启动。如下图所示:
其它的注册表中的自启动项都是如此实现开机启动了。后面的教程不再重复。
2、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run
这里"Run"是在左边窗口中找,也就是说它是个“项”。我们的输入法指示器,也就是右下角更改输入法的地方的图标,就是从这里自启动的。启动项名称为“ctfmon.exe”。注意不是ctfmon。要想找ctfmon.exe,请在注册表的窗口的右边找。
3、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
这里"Run"是在左边窗口中找,也就是说它是个“项”。它的启动项请从右侧找。当然可能没有。
4、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run
这里"Run"是在左边窗口中找,也就是说它是个“项”。它的启动项请从右边找,当然可能没有。这个启动项可能会被很多人包括很多杀毒辅助工具所忽略
5、
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\run
这个,run是指“值”,在注册表中,位于右边窗口的“名称”一列。默认的可能没有此run值。病毒会修改run的数据一列的数据。
6、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command
Processor\autorun
这个启动项,是随cmd程序一起启动的。也就是说,只有当打开cmd 窗口的时候,才会启动相应的项。要想找到“autorun”,请从右侧
窗口找。
7、
HKEY_CURRENT_USER\Software\Microsoft\Command
Processor\autorun
这个和上面的一样。
8、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
这个和前面第2个相同。
9、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnce
这个和前面第3个相同。
10、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies\Explorer\Run
这个和前面第4个相同。
11、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
找到这个项之后,请从右边找到名称为“shell”的一个字符串值。它的默认值是“Explorer.exe”。也就是我们的桌面。而病毒会利用这个项来启动自身,比如病毒路径名是:c:\windows\abc.exe,那么病毒会如此修改数据:"Explorer.exe c:\windows\abc.exe"。注意explorer.exe和后面的部分中间有空格。这样在打开桌面的同时,abc.exe这个病毒也同时启动了。
12、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
要找到“userinit”,请从右边窗口找。该值的数据默认是“C:\WINDOWS\system32\userinit.exe,”病毒可以通过修改这个来达到启动自身的目的。比如病毒路径名是:c:\windows\abc.exe,那么病毒会如此修改数据:“C:\WINDOWS\system32\userinit.exe,c:\windows\abc.exe”,这样,开机的时候病毒也一起启动了。
13、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
要找到“AppInit_DLLs”,请从窗口右侧找。这个启动项会启动一个dll文件。而据我遭遇到的病毒,他们一般不只有一个dll文件存在于该启动项里。而且通常这些病毒会不断地监视这个键值有没有被发动,如有发动,立即恢复。关于这个启动项如何处理,请参阅:/thread-5167-1-2.html
14、
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
这是当前用户的启动文件夹,只有当前用户启动系统之后才会启动这里的病毒。卡巴斯基7.0不会对其监控。估计它不认为这是一个启动项,至少不是一个有技术含量的启动项,病毒用一个copy命令就写进去了。但是忽略这个启动项,可能导致卡巴被和谐。其中,如果你的用户名不是administrator,那么请把路径中的administrator替换成你的用户名即是。
15、
C:\Documents and Settings\All Users\「开始」菜单\程序\启动这个是所有用户的启动文件夹。所有用户启动系统后都可以激活这里的病毒。卡巴斯基这时会认为这是一个有技术含量的启动项了,因为是所有用户。权限有所提升哈。