防护注册表关键位置整理

HIPS 防护注册表关键位置整理 一.自启动项目: 开始---程序---启动,里面添加一些应用程序或者快捷方式. 这是 Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那 么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手 法.也有个别会. 路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动 二. 第二自启动项目: 这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找 到该目录，将所需要启动的文件拖放进去就可以达到启动的目的. 路径: C:\Documents and Settings\User\「开始」菜单\程序\启动 三. 系统配置文件启动: 对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动. 1)WIN.INI 启动: 启动位置(*.exe 为要启动的文件名称): [windows] load=*.exe[这种方法文件会在后台运行] run=*.exe[这种方法文件会在默认状态下被运行] 2)SYSTEM.INI 启动: 启动位置(*.exe 为要启动的文件名称)： 默认为: [boot] Shell=Explorer.exe [Explorer.exe 是 Windows 程序管理器或者 Windows 资源管理器,属于正 常] 可启动文件后为: [boot] Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着 Explorer 启动, 隐蔽性很 好] 注意: SYSTEM.INI 和 WIN.INI 文件不同,SYSTEM.INI 的启动只能启动一个指定文件,不要把 Shell=Explorer.exe *.exe 换为 Shell=*.exe,这样会使 Windows 瘫痪! 3) WININIT.INI 启动: WinInit 即为 Windows Setup Initialization Utility, 中文:Windows 安装初始化工具. 它会在系统装载 Windows 之前让系统执行一些命令，包括复制，删除，重命名等，以完 成更新文件的目的. 文件格式: [rename] *=*2 意思是把*2 文件复制为文件名为*1 的文件，相当于覆盖*1 文件 如果要把某文件删除,则可以用以下命令: [rename] nul=*2 以上文件名都必须包含完整路径.

4) WINSTART.BAT 启动: 这是系统启动的批处理文件 ,主要用来复制和删除文件 .如一些软件卸载后会剩余一些残 留物在系统,这时它的作用就来了. 如： “@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT” 这里是执行*.BAT 文件的意思 5) USERINIT.INI 启动[2/2 补充]: 这种启动方式也会被一些病毒作为启动方式,与 SYSTEM.INI 相同. 6) AUTOEXEC.BAT 启动: 这个是常用的启动方式.病毒会通过它来做一些动作. 在 AUTOEXEC.BAT 文件中会包含有恶 意代码。如 format c: /y 等等其它. 四. 注册表启动:(07.4.27 整理更新) 通过注册表来启动,是 WINDOWS 中使用最频繁的一种. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\ HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKLM\System\CurrentControlSet\Services\VxD\ HKCU\Control Panel\Desktop HKLM\System\CurrentControlSet\Services\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\ HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\ HKLM\SOFTWARE\Classes\Protocols\Filter HKLM\SOFTWARE\Classes\Protocols\Handler HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKLM\Software\Classes\Folder\Shellex\ColumnHandlers HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks