注册表启动项,让木马无处藏身

### 注册表启动项：让木马无处藏身 #### 一、经典的启动——“启动”文件夹 在Windows操作系统中，“启动”文件夹是一个非常重要的位置，它用于存放那些希望在系统启动时自动运行的程序或快捷方式。通过简单的路径导航，用户可以轻松管理这些启动项。 - **当前用户的“启动”文件夹**: 通常位于`C:\Documents and Settings\用户名\「开始」菜单\程序\启动`。 - **所有用户的“启动”文件夹**: 存放在`C:\Documents and Settings\All Users\「开始」菜单\程序\启动`。 这两个位置分别对应当前用户的个性化设置以及所有用户的共享设置。将程序或快捷方式放置于此，即可确保它们随系统的启动而自动运行。 #### 二、有名的启动——注册表启动项 除了“启动”文件夹外，注册表中也隐藏着许多启动项的位置，这里是恶意软件最喜欢藏匿的地方之一。下面我们详细介绍几个主要的注册表启动项： ##### 1. Run 键 - **位置**: `[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]` - **位置**: `[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]` 这两个键值下的程序将在每次用户登录时自动执行。此外，还有两个不太引人注意的 Run 键，分别位于: - `[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]` - `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]` 这些键值也需要定期检查，以防恶意软件在此驻留。 ##### 2. RunOnce 键 - **位置**: `[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]` - **位置**: `[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]` 与 Run 键不同的是，RunOnce 下的程序只会被执行一次，然后不再自动启动。这通常用于安装过程中的临时任务。 ##### 3. RunServicesOnce 键 - **位置**: `[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]` - **位置**: `[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]` 此键下的程序在系统启动后会立即运行一次，与 RunOnce 键类似，但更倾向于服务而非应用程序。 ##### 4. RunServices 键 - **位置**: `[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]` - **位置**: `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]` RunServices 继 RunServicesOnce 之后启动，通常用于加载系统服务。 ##### 5. RunOnceEx 键 - **位置**: `[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]` - **位置**: `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]` 这是 Windows XP/2003 特有的启动项，同样只执行一次。 ##### 6. load 键 - **位置**: `[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]` 这个键值允许程序在启动时自动加载。 ##### 7. Winlogon 键 - **位置**: `[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]` - **位置**: `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]` 此键下的 Notify、Userinit、Shell 值也会被用来启动程序。特别注意，这些键值可以用逗号分隔来实现启动多个程序。 ##### 8. 其他注册表位置 还有一些其他的注册表键值可能会被用来自动运行程序，例如： - `[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]` - `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]` 这些位置虽然不如前面提到的常见，但仍需定期检查以防止潜在的安全威胁。 ### 总结 注册表中的启动项是恶意软件常见的藏身之地，因此对于安全意识较高的用户来说，定期检查这些位置是非常必要的。通过了解这些关键位置，用户可以更好地保护自己的计算机免受恶意软件的侵害。同时，建议使用可靠的反病毒软件来帮助检测和清除潜在的威胁。