時間:2015-04-16 來源:互聯網 瀏覽量:
我們知道,Windows中有自帶的啟動文件夾,它是最常見的啟動項目,但很多人卻很少注意仔細檢查它。如果把程序裝入到這個文件夾中,係統啟動就會自動地加載相應程序,而且因為它是暴露在外的,所以非常容易被外在的因素更改。
一、具體的位置是“開始”菜單中的“啟動”選項
在硬盤上的位置是:C:Documents andSettingsAdministrator“開始”菜單程序啟動;
在注冊表中的位置是:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
二、Msconfig
Msconfig是Windows係統中的“係統配置實用程序”,它管的方麵可夠寬,包括:system.ini、win.ini、啟動項目等。同樣,裏麵也是自啟動程序非常喜歡呆的地方!
1.System.ini
首先,在“運行”對話框中輸入“msconfig”啟動係統配置實用程序(下同),找到system.ini標簽,裏麵的“shell=……” 就可以用來加載特殊的程序。如果你的shell=後麵不是默認的explorer.exe,或者說後麵還有一個程序的名字,那你可要小心了,請仔細檢查相 應的程序是否安全!
2.Win.ini
如果我們想加載一個程序:hack.exe,那麼可以在win。ini中用下麵的語句來實現:
[windows]
load=hack.exe
run=hacke.exe
該怎麼做,你應該知道了吧!
這一點上,使用魔方中的係統設置 - 啟動項設置,一目了然,而且可以輕鬆去除和添加啟動項。
3.“啟動”項目
係統配置實用程序中的啟動標簽和我們上麵講的“啟動”文件夾並不是同一個東西,在係統配置實用程序中的這個啟動項目,是Windows係統啟動項目的集合地。幾乎所有的啟動項目都能在這裏找到——當然,經過特殊編程處理的程序可以通過另外的方法不在這裏顯示。
打開“啟動”標簽,“啟動項目”中羅列的是開機啟動程序的名稱,“命令”下是具體的程序附加命令,最後的“位置”就是該程序在注冊表中的相應位置。你可以對可疑的程序進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的“禁用”來禁止該程序開機時候的加載。
一般來講,除係統基於硬件部分和內核部分的係統軟件的啟動項目外,其他的啟動項目都是可以適當更改的,包括:殺毒程序、特定防火牆程序、播放軟件、內存管理軟件等。也就是說,啟動項目中包含了所有我們可見程序的列表,你完全可以通過它來管理你的啟動程序。
三、注冊表中相應的啟動加載項目
注冊表的啟動項目是病毒和木馬程序的最愛!非常多病毒木馬的頑固性就是通過注冊表來實現的,所以平常的時候可以下載一個注冊表監視器來監視注冊表的改動,魔方(點此下載)的後續版本中也將加入一係列的安全方麵的功能用於監視惡意軟件對係統的修改等等。特別是在安裝了新軟件或者是運行了新程序的時候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程序!必要的時候可以根據備份來恢複注冊表,這樣的注冊表程序網上很多,這裏也就不再詳談了。
我們也可以通過手動的方法來檢查注冊表中相應的位置,雖然它們很多是和上文講的位置重複,但是對網絡安全來講,小心永遠不嫌多!
注意同安全、清潔的係統注冊表相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外麵的“system”、 “windows”、“programfiles”等名稱,誰都知道“欲蓋彌彰”的道理。如果經過詳細的比較,可以確定它是不明程序的話,不要手軟,馬上 刪除!
四、Wininit.ini
我們知道,Windows的安裝程序常常調用這個程序來實現安裝程序後的刪除工作,所以不要小看它,如果在它上麵做手腳的話,可以說是非常隱蔽、非常完美的!
它在係統盤的Windows目錄下,用記事本打開它(有時候是wininit.hak文件)可以看到相應的內容。很明顯,我們可以在裏麵添加相 應的語句來達到修改係統程序或者是刪除程序的目的。如果是文件關聯型木馬,可以通過winint.ini來刪除它感染後的原始文件,從而達到真正隱藏自己!
五、DOS下的戰鬥
最後,我們說說DOS下的啟動項目加載,config.sys、autoexec.bat、*.bat等文件都可以用特定的編程方式來實現加載程序的目的。所以不要以為DOS就是個過時的東西,好的DOS下編程往往能達到非常簡單、非常實用的功能。