一、經典的啟動——“啟動”文件夾
單擊“開始→程序”,你會發現一個“啟動”菜單,這就是最經典的Windows啟動位置,右擊“啟動”菜單選擇“打開”即可將其打開,其中的程序和快捷方式都會在系統啟動時自動運行。微軟培訓
二、有名的啟動——注冊表啟動項
注冊表是啟動程序藏身之處最多的地方,主要有以下幾項:
1.Run鍵
Run鍵是病毒最青睐的自啟動之所,該鍵位置是[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run],其下的所有程序在每次啟動登錄時都會按順序自動執行。
還有一個不被注意的Run鍵,位於注冊表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run],也要仔細查看。
2.RunServices鍵
RunServices繼RunServicesOnce之後啟動的程序,位於注冊表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]鍵。
3.RunOnceEx鍵
該鍵是Windows XP/2003特有的自啟動注冊表項,位於[HKEY_CURRENT_USER//SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx]。
4.load鍵
[HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows]下的load鍵值的程序也可以自啟動。
5.Winlogon鍵
該鍵位於位於注冊表[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon],注意下面的Notify、Userinit、Shell鍵值也會有自啟動的程序,而且其鍵值可以用逗號分隔,從而實現登錄的時候啟動多個程序。
6.RunOnce鍵
RunOnce位於[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]鍵,與Run不同的是,RunOnce下的程序僅會被自動執行一次。
7.RunServicesOnce鍵
RunServicesOnce鍵位於[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]下,其中的程序會在系統加載時自動啟動執行一次
8.其他注冊表位置
還有一些其他鍵值,經常會有一些程序在這裡自動運行,如:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/Shell][HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad][HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/Scripts][HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/System/Scripts]
