windows启动方式总结

首先先说说最简单的查看启动项目的方法吧.[开始]---[运行]---输入: “Msconfig”,不包括引号---[回车打开]---选择[启 动]---便可查看启动项目.

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这 是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病 毒不会采取这样的启动手法.也有个别会.

二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目 录是完全一样的, 只要找到该目录，将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:\Documents and Settings \User\「开始」菜单\程序\启动

三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方 式启动.

1)WIN.INI启动:
启动位置(xxx.exe为要启动的文件名称):
　　[windows] 
　 　load=xxx.exe[这种方法文件会在后台运行]
run=xxx.exe[这种方法文件会在默认状态下被运行]

2)SYSTEM.INI 启动:
启动位置(xxx.exe为要启动的文件名称)： 
　　默认为:
　　[boot] 
　　 Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
　　 可启动文件后为:
　　[boot] 
　　Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方 式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一 个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!

3) WININIT.INI 启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工 具.
它会在系统装载Windows之前让系统执行一些命令，包括复制，删除，重命名等，以完成更新文件的目的.
文件格式: 
　 　[rename] 
　　xxx1=xxx2 
　　意思是把xxx2文件复制为文件名为xxx1的文件，相当于覆盖xxx1文件
如 果要把某文件删除,则可以用以下命令:
[rename] 
　　nul=xxx2
以上文件名都必须包含完整路径.

4) WINSTART.BAT 启动:     
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
    如： 
　　“@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT”
    这 里是执行xxxx.BAT文件的意思

5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启 动方式,与SYSTEM.INI相同.

6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动 作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.

四. 注册表启动:
通过 注册表来启动,是WINDOWS中使用最频繁的一种.
----------------------------------------------------------------------------------------------------------------- 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
HKEY_CURRENT_USER\Control Panel\Desktop
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Services\WinSock\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

五.其他启动方式:
(1).C:\Explorer.exe启动方式:
这种启动方式很少人知道.
在 Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索 Explorer.exe文件.
  搜索顺序如下： 
　　(1).　　搜索当前目录. 
　　(2).　　如果没有搜索到 Explorer.exe则系统会获取 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\Session Manager\Executive\Path]的信息获得相对路径.
　　(3).　　如果还是没有文件系 统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\Executive\Path]和 [HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值 为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定 是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是: 
　　(1).　　 %SystemDrive%(例如C:\) 
　　(2).　　%SystemRoot%System32(例如C:\WINNT \SYSTEM32) 
　　(3).　　%SystemRoot%(例如C:\WINNT)
此时,如果把一个名为 Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目 录下的Explorer.exe了. 
　　在WinNT系列下,WindowsNT/Windows2000更加注意了 Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了: 
[HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微 软已经更改了这一方式.

(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文 件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中. 如: SCANSAVE.EXE=/%system32% xxxx.scr
这种启动方式具有一定危险.

(3).计划任务启 动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程 序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.

(4).AutoRun.inf的启动方式:
Autorun.inf 这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是： 
　 　[AUTORUN] 
　　OPEN=文件名.exe 
　　ICON=icon(图标文件).ico 
1.如一个木马,为 xxx.exe.那么Autorun.inf则可以如下:
OPEN=Windows\xxx.exe 
ICON=xxx.exe 
这 时,每次双击C盘的时候就可以运行木马xxx.exe.

2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:\xxx.exe 
ICON=xxx.exe 
这时,双击C盘则可以运行D盘的xxx.exe

(5).更改扩展名启动方式:
更 改扩展名: (*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.

六.Vxd虚拟设备驱动 启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于 Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序，使得几个应用程序可以同时使用这 些资源.

七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号 ---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者 暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.

八. 驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准 程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序 来启动]

06/3/11补充[来自peter_yu]:
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\

c:\explorer.exe 
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini - [windows] "load"
windir\win.ini - [windows] "run"
windir\system.ini - [boot] "shell"
windir\system.ini - [boot] "scrnsave.exe"
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt
Folder.htt
desktop.ini
C:\Documents and Settings\superman\Application Data\Microsoft\Internet Explorer\Desktop.htt