文件自啓動方式

一.自啓動項目:
開始---程序---啓動,裏面添加一些應用程序或者快捷方式.
這是Windows 裏面最常見,以及應用最簡單的啓動方式,如果想一些文件開機時候啓動,那麼也可以將他拖入裏面或者建立快捷方式拖入裏面.現在一般的病毒不會採取這樣的啓動手法.也有個別會.

二. 第二自啓動項目:這個是很明顯卻被人們所忽略的一個,使用方法和第一自啓動目錄是完全一樣的, 只要找到該目錄，將所需要啓動的文件拖放進去就可以達到啓動的目的.
路徑:
C:/Documents and Settings/User/「開始」菜單/程序/啓動

三. 系統配置文件啓動:
對於系統配置文件,許多人一定很陌生,許多病毒都是以這種方式啓動.

1)WIN.INI啓動:
啓動位置(xxx.exe爲要啓動的文件名稱):
??[windows]
??load=xxx.exe[這種方法文件會在後臺運行]
run=xxx.exe[這種方法文件會在默認狀態下被運行]

2)SYSTEM.INI啓動:
啓動位置(xxx.exe爲要啓動的文件名稱)：
??默認爲:
??[boot]
??Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows資源管理器,屬於正常]
??可啓動文件後爲:
??[boot]
??Shell= Explorer.exe xxx.exe [現在許多病毒會採用此啓動方式,隨着Explorer啓動, 隱蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的啓動只能啓動一個指定文件,不要把Shell=Explorer.exe xxx.exe換爲Shell=xxx.exe,這樣會使Windows癱瘓!

3) WININIT.INI啓動:
WinInit即爲Windows Setup Initialization Utility, 中文:Windows安裝初始化工具.
它會在系統裝載Windows之前讓系統執行一些命令，包括複製，刪除，重命名等，以完成更新文件的目的.
文件格式:
??[rename]
??xxx1=xxx2
??意思是把xxx2文件複製爲文件名爲xxx1的文件，相當於覆蓋xxx1文件
如果要把某文件刪除,則可以用以下命令:
[rename]
??nul=xxx2
以上文件名都必須包含完整路徑.

4) WINSTART.BAT啓動:
這是系統啓動的批處理文件,主要用來複制和刪除文件.如一些軟件卸載後會剩餘一些殘留物在系統,這時它的作用就來了.
如：
??“@if exist C:/WINDOWS/TEMPxxxx.BAT call C:/WINDOWS/TEMPxxxx.BAT”
這裏是執行xxxx.BAT文件的意思

5) USERINIT.INI啓動[2/2補充]:
這種啓動方式也會被一些病毒作爲啓動方式,與SYSTEM.INI相同.

6) AUTOEXEC.BAT啓動:
這個是常用的啓動方式.病毒會通過它來做一些動作. 在AUTOEXEC.BAT文件中會包含有惡意代碼。如format c: /y 等等其它.

四. 註冊表啓動:通過註冊表來啓動,是WINDOWS中使用最頻繁的一種.
-----------------------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WinlogonHKEY_LOCAL_MACHINE/System/CurrentControlSet/ServicesHKEY_LOCAL_MACHINE/System/ControlSet001/Session Manager/BootExecute
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager/BootExecute
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/本地User/Software/Microsoft/Windows/CurrentVersion/Policies/ Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper ObjectsHKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnceHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/SetupHKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunHKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnceHKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed ComponentsHKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxDHKEY_CURRENT_USER/Control Panel/Desktop
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Session Manager
HKEY_LOCAL_MACHINE/System/CurrentControlSet/ServicesHKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoadHKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/load
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/runHKLM/SOFTWARE/Classes/Protocols/Filter
HKLM/SOFTWARE/Classes/Protocols/Handler
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskScheduler
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
HKLM/Software/Classes/Folder/Shellex/ColumnHandlers
HKCU/Software/Microsoft/Internet Explorer/UrlSearchHooks
HKLM/Software/Microsoft/Internet Explorer/Toolbar
HKLM/Software/Microsoft/Internet Explorer/Extensions
HKLM/System/CurrentControlSet/Control/Session Manager/BootExecute
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
HKLM/System/CurrentControlSet/Control/Session Manager/KnownDlls
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHost
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKCU/Control Panel/Desktop/Scrnsave.exe
HKLM/System/CurrentControlSet/Services/WinSock/Parameters/Protocol_Catalog9
HKLM/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Authentication Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Notification Packages
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Security Packages

五.其他啓動方式:
(1).C:/Explorer.exe啓動方式:
這種啓動方式很少人知道.
在Win9X下,由於SYSTEM.INI只指定了Windows的外殼文件Explorer.exe的名稱,而並沒有指定絕對路徑,所以Win9X會搜索Explorer.exe文件.
搜索順序如下：
??(1).??搜索當前目錄.
??(2).??如果沒有搜索到Explorer.exe則系統會獲取
??[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]的信息獲得相對路徑.
??(3).??如果還是沒有文件系統則會獲取[HKEY_CURRENT_USER/Environment/Path]的信息獲得相對路徑.
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]和[HKEY_CURRENT_USER/Environment/Path]所保存的相對路徑的鍵值 爲:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由於當系統啓動時,“當前目錄”肯定是%SystemDrive%(系統驅動器),這樣系統搜索Explorer.EXE的順序應該是:
??(1).??%SystemDrive%(例如C:/)
??(2).??%SystemRoot%System32(例如C:/WINNT/SYSTEM32)
??(3).??%SystemRoot%(例如C:/WINNT)
此時,如果把一個名爲Explorer.EXE的文件放到系統根目錄下,這樣在每次啓動的時候系統就會自動先啓動根目錄下的Explorer.exe而不啓動Windows目錄下的Explorer.exe了.
??在WinNT系列下,WindowsNT/Windows2000更加註意了Explorer.exe的文件名放置的位置,把系統啓動時要使用的外殼文件(Explorer.exe)的名稱放到了:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell] 而在Windows 2000 SP2中微軟已經更改了這一方式.

(2).屏幕保護啓動方式:
Windows 屏幕保護程序是一個*.scr文件,是一個可執行PE文件,如果把屏幕保護程序*.scr重命名爲*.exe的文件,這個程序仍然可以正常啓動,類似的*.exe文件更名爲*.scr文件也仍然可以正常啓動.
文件路徑保存在System.ini中的SCRNSAVE.EXE=的這條中.如: SCANSAVE.EXE=/%system32% xxxx.scr
這種啓動方式具有一定危險.

(3).計劃任務啓動方式:
Windows 的計劃任務功能是指某個程序在某個特指時間啓動.這種啓動方式隱蔽性相當不錯.
[開始]---[程序]---[附件]---[系統工具]---[計劃任務],按照一步步順序操作即可.

(4).AutoRun.inf的啓動方式:
Autorun.inf這個文件出現於光盤加載的時候,放入光盤時,光驅會根據這個文件內容來確定是否打開光盤裏面的內容.
Autorun.inf的內容通常是：
??[AUTORUN]
??OPEN=文件名.exe
??ICON=icon(圖標文件).ico
1.如一個木馬,爲xxx.exe.那麼Autorun.inf則可以如下:
OPEN=Windows/xxx.exe
ICON=xxx.exe
這時,每次雙擊C盤的時候就可以運行木馬xxx.exe.

2.如把Autorun.inf放入C盤根目錄裏,則裏面內容爲:
OPEN=D:/xxx.exe
ICON=xxx.exe
這時,雙擊C盤則可以運行D盤的xxx.exe

(5).更改擴展名啓動方式:
更改擴展名:(*.exe)
如:*.exe的文件可以改爲:*.bat,*.scr等擴展名來啓動.

六.Vxd虛擬設備驅動啓動方式:應用程序通過動態加載的VXD虛擬設備驅動,而去的Windows 9X系統的操控權(VXD虛擬設備驅動只適用於Windows 95/98/Me).
可以用來管理例如硬件設備或者已安裝軟件等系統資源的32位可執行程序，使得幾個應用程序可以同時使用這些資源.

七.Service[服務]啓動方式:
[開始]---[運行]---輸入"services.msc",不帶引號---即可對服務項目的操作.
在“服務啓動方式”選項下,可以設置系統的啓動方式:程序開始時自動運行,還是手動運行,或者永久停止啓動,或者暫停(重新啓動後依舊會啓動).
註冊表位置:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
通過服務來啓動的程序,都是在後臺運行,例如國產木馬"灰鴿子"就是利用此啓動方式來達到後臺啓動,竊取用戶信息.

八.驅動程序啓動方式:有些病毒會僞裝成硬件的驅動程序,從而達到啓動的目的.
1.系統自帶的驅動程序.[指直接使用操作系統自帶的標準程序來啓動]
2.硬件自帶的驅動程序.[指使用硬件自帶的標準程序來啓動]
3.病毒本身僞裝的驅動程序.[指病毒本身僞裝的標準程序來啓動]

06/3/11補充[來自peter_yu]:
windir/Start Menu/Programs/StartupUser/StartupAll Users/Startupwindir/system/iosubsyswindir/system/vmm32windir/Tasks
c:/explorer.exe
c:/autoexec.bat
c:/config.sys
windir/wininit.ini
windir/winstart.bat
windir/win.ini - [windows] "load"
windir/win.ini - [windows] "run"
windir/system.ini - [boot] "shell"
windir/system.ini - [boot] "scrnsave.exe"
windir/dosstart.bat
windir/system/autoexec.nt
windir/system/config.nt