Windows下自启动方式总结.pdf

Windows操作系统提供了多种启动方式，这些启动方式可以用于合法的应用程序自动启动，但同时也可能被恶意软件利用。下面将详细介绍这些启动方式。 1. **开始菜单启动**： 这是最直观且最常用的启动方式。用户可以在“开始”菜单->“程序”->“启动”文件夹中放入应用程序的快捷方式，以便系统启动时自动运行。然而，现代病毒为了避免被轻易发现，较少使用这种方式。 2. **隐藏的启动目录**： 除了上述的“启动”文件夹，还存在一个不太为人知的启动目录，位于“「开始」菜单程序 启动”。用户可以直接将文件或快捷方式放入这个目录，实现开机启动。 3. **系统配置文件启动**： - **WIN.INI**： 在`[Windows]`部分，通过`run=`键值可以设置后台启动的程序，例如`run=xxx.exe`。 - **SYSTEM.INI**： 特别是`[BOOT]`部分的`Shell=`键值，可以指定启动程序，如`Shell=Explorer.exe xxx.exe`。这种启动方式隐蔽性好，常被病毒利用。 - **WININIT.INI**： 在系统加载Windows之前执行命令，通常用于文件的复制、删除和重命名。 - **WINSTART.BAT**： 是系统启动时执行的批处理文件，常用于清理系统中的临时文件或其他残留物。 4. **USERINIT.INI启动**： 类似于SYSTEM.INI，USERINIT.INI也被一些病毒用作启动点，尤其是在`Userinit=`键值中指定程序。 5. **AUTOEXEC.BAT启动**： 这是DOS时代遗留下来的启动脚本，Windows系统仍然支持。病毒可能会在其中插入恶意代码，如格式化硬盘的命令。 6. **注册表启动**： 注册表是Windows中启动程序最常用的方式，包括以下几个关键位置： - **HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon**： Winlogon键下的`Shell`和`Userinit`值可以指定启动程序。 - **HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services**： 服务相关的启动项，很多系统服务在此处注册。 - **HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute**： 用于系统启动时执行的命令。 - **HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run**： 用户特定的启动项。 - **HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects**： 浏览器帮助对象，一些插件和扩展在这里启动。 - **HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs**： 应用程序初始化DLL，某些程序可以通过注册DLL在此启动。 了解这些启动方式，对于系统管理和安全维护至关重要。无论是排查恶意软件还是优化系统性能，都需要对这些启动点有深入的理解。同时，定期检查和管理这些启动项，可以有效防止恶意软件的自动启动，保护系统的安全。