大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
一: 注册表相关
创新互联长期为成百上千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为上党企业提供专业的成都网站建设、成都网站设计,上党网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。
===============================================
有部分程序可以将自身在注册表加载的位置进行隐藏,常见的操作有两种方式:
1、对指定的注册表分支、键值设置权限(Acls)导致当前用户无权查看这些分支、键值的内容,自然无法获取病毒信息了。
2、使用超长的分支、键值名字,让注册表程序无法正常显示这些内容。
在XP/2K中存在一个长字符串缺陷:
有部分恶意程序还能破坏注册表某些键值的设定工作,比如将正常的REG_DWORD键值删除,伪造一个图标样式(键值显示有两种图标)的不是REG_DWORD的键值,这样原来的设置就不能读到正确格式的键值,也就不能正常工作了。
==================================
1、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序,位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Current Version\Windows
建一个字符串名为load键值,为自启动程序的路径但是要注意短文件名规则,如c:\program files 应为c:\progra~1,这种方式用优化大师看不到。
据说建立run=键值也是可行的,需要注意没有测试过。
其实应该是windows.ini,和system.ini两个文件对应的run。不过好像在98有用把,具体就不多累赘,
至今没发现过这类病毒加载到这里面的,估计是没什么用处吧,不过提下也无妨。
2、Winlogon\Userinit注册键
存放位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
找到“Userinit”这个键值,这个键值默认为c:\WINNT\system32\userinit.exe,后面加逗号,再加路径。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,vitas.exe”(不含引号)。
注意下面的Notify、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
3、Explorer\Run注册键
和load、Userinit不同,Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
------------------------------
(下面4--7其实也很常见了,不过提出来,因为部分管理员还是会忽视这几个地方的。)
4、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序,RunServicesOnce注册键的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
5、RunServices注册键
RunServices指定的程序紧接RunServicesOnce指定的程序后运行,两者都在用户登录之前,位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRunServices;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
6、RunOnceSetup注册键
RunOnceSetup指定了用户登录之后运行的程序,它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup。
7、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时间在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。
--------------------------------------------------
==================
==================
(下面这里强调一点 应该是最容易忽视的,很多杀软是查不出的)
9、Image File Execution Options下的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的注册表项,项名为A.exe(A这里是通配符,下面B一样,就是对应你的应用程序名字,比如360safe.exe),然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。这个是针对系统可以设置每个程序指定的纠错程序来实现的。让我感到意外的是A.exe不用指明路径!
(或许默认不指名系统会直接找到对应程序名的路径,不过很多病毒都自己写上去了,也就是镜像劫持, 也就是为什么很多人说双击杀毒软件什么的都打不开,病毒很多就在这里做文章)
10、开始菜单启动组
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到相应的文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,键名为Startup。
--------------------------
(这里提示下,startup 文件,系统默认有个账户,再docoument...下面的,对应个账户名字文件夹,其中有一个默认的他里面也可以加载的,但你自己的用户下面的开始/程序/ 启动那里是看不到的,不过这类病毒还是比较少的,估计是觉得他太暴露了,不过还是有些隐蔽的,很多管理员都会忽视)
=============================================
下面几项中都是比较少见到的,大家多多留意了
=============================================
11、Winlogon\shell
在以下键值位置:
HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon;
里面的shell建值在Explorer.exe的后面加上我们程序的路径 这样我们的程序就可以随系统启动了。
12、COMMAND的AUTORUN
利用CMD.EXE的autorun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下面建一个字串AUTORUN,值为要运行的.bat或.cmd文件的路径,木马可以加载在AUTORUN键值下。这样在运行CMD命令的时候一起加载运行。
注意:
1、如果需要运行.dll文件,则需要特殊的命令行:
例如:
Rundll32.exe C:\WINDOWS\FILE.DLL,Rundll32
2、解除这里相应的自启动项只需删除该键值即可,但注意不要删除系统键值。
3、如果只想不启动而保留键值,只需在该键值加入rem即可:
“rem C:\Windows\vitas.exe”
13、System\Shell
存放位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
键值名称:Shell,下面的数据为启动文件名。
14、System\Scripts下Logoff(Logon)键值
注意以下分支的Logoff(Logon)键值可能加载文件:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts;
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts。
(也就是对应的组策略里面的系统启动注销时加载的程序,你可以用gpedit.msc修改)
---------------------------------
(这里强调点,卡巴也会在这里写入,不过好像是中文版本的有,经过汉化的,我的kis6.0.2.614版本没有写入,这里是空,具体的你要看看自己的,但不能保证是不是病毒--所以不要误判,可以查看卡巴官方的介绍,或者咨询他们下,我的没有写入,就不多说)
15、AppInit_DLLs键值
在以下位置:
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\WINDOWS,
有一个键值APPINIT_DLLS,一些DLL木马可以在这个位置上直接加载,这种方式加载的木马无法在任务管理器中看到。如求职信病毒就是让系统执行DllMain来达到启动木马的目的,因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
--------------------
(这里说下,下面这个应该是系统磁盘扫描程序的,也就是你不正常关机的时候会有蓝色界面问你是否要进行扫描的,这个满聪明的,一开始我也没想到能从这里启动,呵呵,现在很多杀软也查不出的)
16、bootexecute键值
在以下位置:
HKLM\SYSTEM\CONTROLSET001\SESSION MANAGE下面,有一个名为bootexecute的多字符键值,默认数值是:autocheck autochk*。
17、Winlogon\Notify
位置:
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY,
此处位置也需要特别的留意。
这里常常是dll库文件启动的地方,
那些hook注入就是注入到winlogon,我的对应下面有2个(igfxcui,klogon),一些系统工具是直接删除的, 因为这些都是早于系统启动的,dll文件系统还可以为他隐藏,所以你很难用一些icesword等程序结束的,只能自己手动修改。
18、RunOnceEx
XP操作系统,还需要检查一下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
19、Explorer\shell folders和user shell folder
以下四个键值位置需要注意:
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS;
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\User shell folder
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\User shell folder
20、ShellServiceObjectDelayLoad
以下注册表分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
下可能有可疑键值。
链接:
1、同时按下【win】+【R】键
2、输入shell:startup并回车
3、打开文件夹后,将需要设置为开机启动的软件快捷方式复制粘贴到启动项文件夹
win10系统置电脑软件开机自启动的方法:
1、同时按住键盘上的“win”和“R”键打开运行窗口,然后输入“shell:startup”并按回车键进入系统自启文件夹。
2、右击想要添加软件的快捷方式,然后点击“复制”按钮复制被选中的快捷方式。
3、将刚才复制的软件快捷方式粘贴到打开的系统自启文件夹中,这样以后电脑开机时就会自动启动文件夹中的软件。
很多计算机初级用户认为管好了「开始→程序→启动」窗体就万事大吉,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,而且一些恶意软件或流氓软件的自启动方式还非常隐蔽,想找出并清理他们确实有点麻烦。
仅仅依靠软件去清理是不够的,我们还要主动出击,主动了解Windows中的自启动机制,这样才能知己知彼,百战不殆。
一、当前用户专有的启动档案夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该档案夹的所有建立捷径。用户启动档案夹一般在:Documents and Settings用户名字「开始」窗体程序启动,其中「用户名字」是当前登入的用户账户名称。
二、对所有用户有效的启动档案夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登入系统,放入该档案夹的建立捷径总是自动启动 ——这是它与用户专有的`启动档案夹的区别所在。该档案夹一般在:Documents and SettingsAll Users「开始」窗体程序启动。
三、Load注册键
介绍该注册键的数据不多,实际上它也能够自动启动程序。位置:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNT CurrentVersionWindowsload。
四、Userinit注册键
位置:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit。
这里也能够使系统启动时自动启始化程序。通常该注册键下面有一个userinit.exe,这个键允许指定用逗号分隔的多个程序,例如「userinit.exe,OSA.exe」(不含引号)。
五、ExplorerRun注册键
和load、 Userinit不同,ExplorerRun键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun。
六、RunServicesOnce注册键
RunServicesOnce 注册键用来启动服务程序,启动时间在用户登入之前,而且先于其它通过注册键启动的程序。RunServicesOnce注册键的位置是:
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce。
七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后执行,但两者都在用户登入之前。RunServices的位置是:
HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRunServices,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices。
八、RunOnceSetup注册键
RunOnceSetup 指定了用户登入之后执行的程序,它的位置是:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion RunOnceSetup,和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce Setup。
九、RunOnce注册键
安装程序通常用RunOnce键自动执行程序,它的位置在
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRunOnce和HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRunOnce。
HKEY_LOCAL_MACHINE下面的 RunOnce键会在用户登入之后立即执行程序,执行时机在其它Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其它Run键以及「启动」数据夹的内容之后执行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx。
十、Run注册键
Run是自动执行程序最常用的注册键,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,和HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun。
HKEY_CURRENT_USER下面的Run键紧接 HKEY_LOCAL_MACHINE下面的Run键执行,但两者都在处理「启动」数据夹之前。
您好,设置开机启动项的方法:
1、点击“开始”按钮打开菜单,打开运行窗口,在输入框中输入“msconfig”,然后点击确定就可以打开系统配置;
2、打“系统配置”窗口后,切换到“启动”选项卡,在此就可以对开机启动项进行设置了;
3、将需要禁用的程序勾选上,点击“全部禁用”,然后点击确定,重启计算机;
4、如果有安装360安全卫士等工具,可以打开优化加速,点击全面加速,关闭多余的启动项,不过要仔细看,不要把关键的启动项禁用,否则系统会出问题。