[分享]：Windows系统自启动程序十大藏身之所

xmin

Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉， 实际上，在Windows XP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。
　　一、当前用户专有的启动文件夹
　　这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：＼Documents and Settings＼<用户名字>＼“开始”菜单＼程序＼启动，其中“<用户名字>”是当前登录的用户帐户名称。
　　二、对所有用户有效的启动文件夹
　　这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：＼Documents and Settings＼All Users＼“开始”菜单＼程序＼启动。
　　三、Load注册键
　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：HKEY_CURRENT_USER＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼load。
　　四、Userinit注册键
　　位置：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe，如图，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。
　　五、Explorer＼Run注册键
　　和load、Userinit不同，Explorer＼Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run。
　　六、RunServicesOnce注册键
　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce。
　　七、RunServices注册键
　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices。
　　八、RunOnce＼Setup注册键
　　RunOnce＼Setup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup。
　　九、RunOnce注册键
　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx。
　　十、Run注册键
　　Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。

周星星

这样说木马的藏身之处就容易找出来了，按照楼上所说

天上的金鱼

现在木马也改进了！有一种叫DLL挂载！请问楼主怎么查！要是不介意我可以给一个这样的木马让你研究

xmin

答楼上二位
呵呵，我发帖的主题并不是怎样防治木马，当然，知道系统启动时加载了什么程序对防治木马确实很重要，但要杀马，还需要知道更多。现在有些木马将自己与WINDOWS系统文件捆绑，这样你看见正常的系统进程实际上可能已启动了木马；3l楼说的DLL挂接，也是很常见的一种，这种情况在启动项目中也看不见木马本身，只能通过一些进程管理软件来查看，如Process Explorer，能了解看不到的在后台执行的处理程序，能显示目前已经载入哪些模块，分别是正在被哪些程序使用着，还可显示这些程序所调用的 DLL进程，以及他们所打开的句柄。3721就使用了DLL挂接。
    实际上，我前面只是列举了常见的系统启动项目，其实远不止前面说的那些地方，如Autoexec.bat,winstart.bat,win.ini,system.ini (WIN9X中) 等中均有可能，下面再将整理得内容发出：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Documents and Settings\(用户名)\「开始」菜单\程序\启动
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run       
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler       
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad       
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad       
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Task Scheduler

[注]前面HKCU是HKEY_CURRENT_USER的简写
   HKLM是HKEY_LOCAL_MACHINE的简写