注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

★ ★ ★ 卡多 - K.D

DELPHI

 
 
 

日志

 
 

Windows 自启动方式大全[2]  

2011-01-13 18:42:25|  分类: ‖ 杂文 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

一、自启动目录:
1、第一自启动目录:
默认路径位于:
C:/windows/start menu/programs/startup(English)
C:/windows/start menu/programs/启动(Chinese)
这是最基本、最常用的Windows 启动方式,主要用于启动一些应用软件的自启动项目,
如Office 的快捷菜单。一般用户希望启动时所要启动的文件也可以通过这里启动,只需把所
需文件或其快捷方式放入文件夹中即可。
对应的注册表位置:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders]
Startup=\”%Directory%\”
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell
Folders] Startup=\”%Directory%\”
其中“%Directory%”为启动文件夹位置。
英文默认为:
C:/windows/start menu/programs/startup
中文默认为:
C:/windows/start menu/programs/启动
在开始菜单的“启动”文件夹是可更改的,如果用户更改了启动文件夹,则以上注册表
的键值均会改变为相应的名称。
值得注意的是:开始菜单的“启动”文件夹中的内容虽然在默认的状态下可以被用户看
得一清二楚。但通过改动还是可以达到相当隐蔽地启动的目的的:
首先,“启动”文件夹中的快捷方式或其他文件的属性可以改变为”隐藏”。这样可以达
到系统不启动被隐藏的文件,等到需要启动的时候又可以通过更改回文件属性而恢复启动的
作用。
其次,其实“启动”文件夹只是一个普通的文件夹,但是由于系统监视了这个文件夹,
所以变得有些特殊,但文件夹有的功能该文件夹也是有的。譬如“启动”文件夹的名称是可
以更改的,并且“启动”文件夹也可以设置属性。如果把属性设置为“隐藏”,则在系统中
的【开始】—→【程序】菜单中是看不到“启动”文件夹的(即使在“文件夹选项”中已经
设定了“显示所有文件”)。而系统还会启动这个被隐藏的文件夹中的非隐藏文件。敏感的人
们也许已经发现问题。
举一个例子:
如果我想启动A 木马的server 端服务器,我可以把原来的“启动”菜单的名称更改为
“Startup”(这里是随便改的,注册表相应的键值也会自动更改。)之后再创建一个名为“启
动”的文件夹,把“Startup”菜单中的文件全部复制(这里用复制,可以骗过用户的检查)
到“启动”菜单中,然后把A 木马的server 程序放入“Startup”文件夹中,最后把“Startup”
文件夹隐藏。大功告成!
从外表看来,用户的【开始】—→【启动】目录还在,而且要启动的文件也在。但系统
此时启动的文件不是名为“启动”的文件夹中的文件,而是名为“Startup”的文件夹中的文
件。如果木马做的好的话,完全可以在每次启动的时候把“Startup”中的文件复制到”启动”
目录中来达到实时更新启动目录的目的。由于“Startup”文件夹被隐藏,从【开始】—→【程
序】中是无法看到真正的启动菜单“Startup”的,所以达到了隐蔽启动的目的!
这个启动方式虽然比较隐蔽,但通过msconfig 依旧可以在“启动”页中看出来。

 

2、第二自启动目录:
是的,其实,Windows 还有另外一个自启动目录,而且很明显但却经常被人们忽略的一
个。 该路径位于:
C:/WINDOWS/All Users/Start Menu/Programs/Startup(English)
C:/WINDOWS/All Users/Start Menu/Programs/启动(Chinese)
这个目录的使用方法和第一自启动目录是完全一样的。只要找到该目录,将所需要启动
的文件拖放进去就可以达到启动的目的。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/explorer/User Shell
Folders] \”Common Startup\”=\”%Directory%\”
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/explorer/User Shell
Folders] \”Common Startup\”=\”%Directory%\”
值得注意的是:该目录在开始菜单的“启动”目录中是完全不能被看见的。而伴随着每
次启动,该目录下的非隐藏文件也会随之启动! 另外,在msconfig 中可以看到在这个目录
下要启动的文件。

 

 


二、系统配置文件启动:
由于系统的配置文件对于大多数的用户来说都是相当陌生的;这就造成了这些启动方法
相对来说都是相当隐蔽的,所以这里提到的一些方法常常会被用于做一些破坏性的操作,请
读者注意。

1、WIN.INI 启动:
启动位置(file.exe 为要启动的文件名称):
[windows]
load=file.exe
run=file.exe
注意:load=与run=的区别在于:通过load=运行文件,文件会在后台运行(最小化);而通
过run=来运行,则文件是在默认状态下被运行的。


2、SYSTEM.INI 启动:
启动位置(file.exe 为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe
可启动文件后为:
[boot]
Shell=Explorer.exe file.exe


说明:
笔者记得在诺顿先生(就是开发出Norton 系列软件的人)写的一本书里面曾经说过,1、2
这两个文件的有无对系统没有什么影响,但由于时间的关系,笔者没有来得及试验,有兴趣
者可以试一试。


不过有一点是可以肯定的,这样的启动方式往往会被木马或一些恶作剧程序(如,妖之
吻)利用而导致系统的不正常。由于一般用户很少会对这两个文件关心,甚至有的人不知道
这些文件是做什么用的,所以隐蔽性很好。但由于其使用的越来越频繁,这种启动方式也被
渐渐的察觉了。用户可以使用msconfig 这个命令实现检查是否有什么程序被加载。具体的
是在看是菜单中的“运行”中输入msconfig 回车,之后按照文字说明即可。

 

注意:
1、和WIN.INI 文件不同的是,SYSTEM.INI 的启动只能启动一个指定文件,不要把
Shell=Explorer.exe file.exe 换为Shell=file.exe,这样会使Windows 瘫痪!
2、这种启动方式提前于注册表启动,所以,如果想限制注册表中的文件的启动,可是使用
这种方法。
3、WININIT.INI 启动:
Wininit.ini 这个文件也许很多人不知道,一般的操作中用户也很少能直接和这个文件接
触。但如果你编写过卸载程序的话,也许你会知道这个文件。
WinInit 即为Windows Setup Initialization Utility。翻译成中文就是Windows 安装初始化
工具。这么说也许不明白,如果看到如下提示信息:
Please wait while Setup updates your configuration files.
This may take a few minutes...
大家也许就都知道了!这个就是Wininit.ini 在起作用!
由于在Windows 下,许多的可执行文件和驱动文件是被执行到内存中受到系统保护的。
所以在Windows 的正常状态下更改这些文件就成了问题,因此出现了Wininit.ini 这个文件
来帮助系统做这件事情。它会在系统装载Windows 之前让系统执行一些命令,包括复制,
删除,重命名等,以完成更新文件的目的。Wininit.ini 文件存在于Windows 目录下,但在一
般时候我们在C:/Windows 目录下找不到这个文件,只能找到它的exe 程序Wininit.exe。原
因就是Wininit.ini 在每次被系统执行完它其中的命令时就会被系统自动删除,直到再次出现
新的Wininit.ini 文件……之后再被删除。
文件格式:
[rename]
file1=file2
file1=file2 的意思是把file2 文件复制为文件名为file1 的文件,相当于覆盖file1 文件。
这样启动时,Windows 就实现了用file2 更新file1 的目的;如果file1 不存在,实际结果是将
file2 复制并改名为file1;如果要删除文件,则可使用如下命令:
[rename]
nul=file2  
这也就是说把file2 变为空,即删除的意思。
以上文件名都必须包含完整路径。


注意:
1、由于Wininit.ini 文件处理的文件是在Windows 启动以前处理的,所以不支持长文件名。
2、以上的文件复制、删除、重命名等均是不提示用户的情况下执行的。有些病毒也会利用
这个文件对系统进行破坏,所以用户如果发现系统无故出现:
Please wait while Setup updates your configuration files.
This may take a few minutes...
那么也许系统就有问题了。
3、在Windows 95 Resource Kit 中提到过Wininit.ini 文件有三个可能的段,但只叙述了[rename]
段的用法。
4、WINSTART.BAT 启动:
这是一个系统自启动的批处理文件,主要作用是处理一些需要复制、删除的任务。譬如有些
软件会在安装或卸载完之后要求重新启动,就可以利用这个复制和删除一些文件来达到完成
任务的目的。如:
“@if exist C:/WINDOWS/TEMP/PROC.BAT call C:/WINDOWS/TEMP/PROC.BAT”
这里是执行PROC.BAT 文件的命令;

”call filename.exe > nul”
这里是去除任何在屏幕上的输出。
值得注意的是WinStart.BAT 文件在某种意义上有和AUTOEXEC.BAT 一样的作用。如
果巧妙安排完全可以达到修改系统的目的!
5、AUTOEXEC.BAT 启动:
这个就没的说了,应该是用户再熟悉不过的系统文件之一了。每次重新启动系统时在
DOS 下启动。恶意的程序往往会利用这个文件做一些辅助的措施。
不过,在AUTOEXEC.BAT 文件中会包含有恶意代码。如format c: /y 等;由于BAT 恶
意程序的存在,这个机会大大地增加了。譬如最近很流行的SirCam 蠕虫也利用了
Autoexec.bat 文件。
说明:
4、5 这两个文件都是批处理文件,其作用往往不能完全写出来,因为批处理的用处在
DOS 时代的应用太广泛,它的功能相对来说也是比较强大。想利用这两个文件,需要对DOS
有一定的了解。.
三、注册表启动:
注册表中的启动应该是被使用最频繁的启动方式,但这样的方式也有一些隐蔽性较高的
方法,大致有三种。


1、常规启动:
其中%path% 为任意路径, file.exe 为要运行的程序。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/RunServices]
\”Anything\”=\”%path%file.exe\”
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/RunServicesOnce]
\”Anything\”=\”%path%file.exe\”
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run]
\”Anything\”=\”%path%file.exe\”
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/RunOnce]
\”Anything\”=\”%path%file.exe\”
[HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Run]
\”Whatever\”=\”c:runfolderprogram.exe\”
[HKEY_CURRENT_USER/Software/Microsoft/Windows/Current
Version/RunOnce]\”Whatever\”=\”c:runfolderprogram.exe\”


注意:
(1)、如果需要运行.dll 文件,则需要特殊的命令行。如:
Rundll32.exe C:/WINDOWS/FILE.DLL,Rundll32
(2)、解除这里相应的自启动项只需删除该键值即可,但注意不要删除如SystemTray、
ScanRegistry 等这样的系统键值。
(3)、如果只想不启动而保留键值,只需在该键值加入rem 即可。如: “rem C:Windowsa.exe”
(4)、在注册表中的自启动项中没有这项:
[HKEY_CURRENT_USER/ Software/Microsoft/Windows/Current Version/RunServices]
(5)、Run 和RunServices 的区别在于:Run 中的程序是在每次系统启动时被启动,RunServices
则是会在每次登录系统时被启动。
关于:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/RunOnceEx]
有特殊的语法:
例如,运行notepad.exe

 

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/RunOnceEx]
\”Title\”=\”My Setup Title\” \”Flag\”=dword:00000002
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/RunOnceEx]
001 \”RunMyApp\”=\”||notepad.exe\”
语法为:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/RunOnceEx]
Flags = 0x0000000
Title = \”Status Dialog Box Title\”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current
Version/RunOnceEx]Depend
0001 = \”xxx1\”
000X = \”xxxx\”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current
Version/RunOnceEx001]
Entry1 = \”MyApp1.exe\”
EntryX = \”MyApp2.exe\”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/RunOnceEx00x
...


注意:
(1).”xxx1,xxxx”是一个动态链接库(DLL)或.OCX 文件名(如My.ocx 或My.dll)。
(2).”0001,000x”是部分名字。可以是数字和文字。
(3).”entry1,entryX”是指向一个要运行的程序文件的注册表串值。
键值的说明:
Flags 是一个定位在RunOnceEx 键用来激活/禁止的DWORD 值,具体如下:
值 功能 功能定义
0x00000000 默认 所有功能被禁止
0x00000004 检查壳状况 打开壳的读写校验准备接受OLE 命令
0x00000008 无报错对话 错误对话框不显示
0x00000010 创建错误报告文件 创建 C:WindowsRunOnceEx.err 文件如果有错误出现
0x00000020 创建执行报告文件 创建一个有命令状态的C:WindowsRunOnceEx.log 文件
0x00000040 无例外限制 当注册DLL 时不限制例外
0x00000080 无状态对话 当RunOnceEx 运行时状态对话框不显示
由于涉及篇幅较多,具体做法请浏览微软网页:
http://support.microsoft.com/support/kb/articles/Q232/5/09.ASP


2、特殊启动(1):
在注册表中除了上述的普通的启动方式以外,还可以利用一些特殊的方式达到启动的目的:
[HKEY_CLASSES_ROOT/exefile/shell/open/command] @=\”%1\” %*
[HKEY_CLASSES_ROOT/comfile/shell/open/command] @=\”%1\” %*
[HKEY_CLASSES_ROOT/batfile/shell/open/command] @=\”%1\” %*
[HKEY_CLASSES_ROOT/htafile/shell/open/command] @=\”%1\” %*
[HKEY_CLASSES_ROOT/piffile/shell/open/command] @=\”%1\” %*
[HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command] @=\”%1\” %*
[HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command] @=\”%1\” %*

[HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command] @=\”%1\” %*
[HKEY_LOCAL_MACHINE/Software/CLASSES/htafile/shell/open/command] @= \”%1\” %*
[HKEY_LOCAL_MACHINE/Software/CLASS/ESpiffile/shell/open/command] @=\”%1\” %*
其实从注册表的路径上也许就隐约可以看出,这些都是一些经常被执行的可执行文件的
键值。往往有些木是可以更改这些键值从而达到加载的目的:
如果我把“%1”“%*”改为“file.exe”“%1”“%*”则文件file.exe 就会在每次执行某
一个类型的文件(要看改的是哪一个文件类型)的时候被执行! 当然,可以被更改的不一
定只是可执行文件,譬如冰河就利用了TXT 文件的键值:
[HKEY_CLASSES_ROOT/txtfile/shell/open/command]实现木马的一种启动方式。


3、特殊启动(2):
在注册表中: [HKEY_LOCAL_MACHINE/System/Current Control Set/Services/VxD]
的位置上有这样的地址。该地址是系统启动VxD 驱动文件放置的地址,就像PrettyPark 这
个蠕虫一样,可以建立一个主键之后把VxD 文件添加到注册表中在这里。
注意:不可以直接把一个EXE 文件改名为VxD 文件,需要另外进行编程,生成的VxD
文件。


四、其他启动方式:
(一)、C:/Explorer.exe 启动方式:
这是一种特殊的启动方式,很少有人知道。
在Win9X 下,由于SYSTEM.INI 只指定了Windows 的外壳文件EXPLORER.EXE 的名
称,而并没有指定绝对路径,所以Win9X 会搜索EXPLORER.EXE 文件。
搜索顺序如下:
(1)、搜索当前目录。
(2)、如果没有搜索到EXPLORER.EXE 则系统会获取
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ControlSession
Manager/Environment/Path]的信息获得相对路径。
(3)、如果还是没有文件系统则会获取[HKEY_CURRENT_USER/Environment/Path]的信息获
得相对路径。
其中:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ControlSession
Manager/Environment/Path]和[HKEY_CURRENT_USER/Environment/Path]所保存的相对路
径的键值为:“%SystemRoot%、%System32%、%SystemRoot%”和空。
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜
索EXPLORER.EXE 的顺序应该是:
(1)%SystemDrive%(例如C:/)
(2).%SystemRoot%/System32(例如C:/WINNTSYSTEM32)
(3).%SystemRoot%(例如C:/WINNT)
此时,如果把一个名为EXPLORER.EXE 的文件放到系统根目录下,这样在每次启动的
时候系统就会自动先启动根目录下的EXPLORER.EXE 而不启动Windows 目录下的
EXPLORER.EXE 了。
在WinNT 系列下,WindowsNT/Windows2000 更加注意了EXPLORER.EXE 的文件名放
置的位置,把系统启动时要使用的外壳文件(EXPLORER.EXE)的名称放到了:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/NT/Current

 

Version/Winlogon/Shell] 这个位置。作为默认这个位置是不存在的,默认为是Explorer.exe。
具体请参考:http://www.microsoft.com/technet/security/bulletin/fq00-052.asp

注意:
一定要确定根目录下的EXPLORER.EXE 要能启动Windows 目录下的
EXPLORER.EXE,否则会导致Windows 无法启动!
现在流行的病毒CodeRed 就会在C:/和D:/目录下放置两个约8KB 的EXPLORER.EXE
的文件!在Windows 2000 SP2 中微软已经更改了这一方式。


(二)、屏幕保护启动方式:
Windows 的屏幕保护程序是一个.scr 文件。这是一个PE 格式的可执行文件。如果把屏
幕保护程序.scr 更名为.exe 的文件,则该程序仍然可以正常启动。类似的.exe 文件更名为.scr
文件也是一样可以被运行!
.scr 文件默认存在于C:/Windows 目录中,他的名字就是在”显示”属性中的”屏幕保
护程序”中的名称。在C:/Windows 目录下的所有*.scr 文件都会被Windows 的”屏幕保护程
序”显示,而文件路径本身保存在System.ini 中的SCRNSAVE.EXE=的这条中。有意思的是
在SCRNSAVE.EXE=这条中,其规定的路径也包含了目录名称。即如果我想安装一个.scr 文
件时,譬如安装路径为D:/SCR1.scr,而D:/SCR 这个目录中还有2.scr,则在这个目录中的
所有.scr(1.scr,2.scr)文件都会被显示在“屏幕保护程序”设置中。如果屏幕保护程序设
为“(无)”,则SCRNSAVE.EXE=这条不存在。但如果SCRNSAVE.EXE=这条所指的文件或
目录是错误的,则在“屏幕保护程序设置”中仍然会显示“(无)”。
屏幕保护程序的启动时间保存在注册表中的这个位置上:
[HKEY_USERS/DEFAULT/Control Panel/desktop/ScreenSave/TimeOut]
时间单位为秒,不过虽然是秒,可启动时间却为分,即从60 秒开始记录,如果记录时间小
于60 秒,则自动定为1 分钟。
屏幕保护是否设置密码的键值为:
[HKEY_USERS/DEFAULT/Control Panel/desktop/ScreenSaveUse/Password]
有密码则值为1 没有密码则值为0。
由此可见,如果有人把自己所作的.exe 程序更名为.scr 的程序,并使程序能够在
SYSTEM.INI 中添加“SCANSAVE.EXE=/%Path%”/file.scr(%Path%/file.scr 为所需要设置
的文件的路径和文件名, 如C:/Program files/trojan.scr ), 修改注册表中的
[HKEY_USERS/DEFAULT/Control Panel/desktop/ScreenSave/TimeOut,定时间为60,则系统
只要闲置一分钟该文件就会被启动!
另外一个简单的破坏方式就是可以随机产生屏幕保护密码并写入相应文件的相应位置,定时
间为1 分钟,则系统只要闲置一分钟则会被被锁!(由于涉及问题并非自启动问题,所以不
加以讨论。)
注意:由于SCANSAVE.EXE=这里还会定义.scr 文件的路径,所以最好不要把要启动的
文件放置在.scr 文件较多的一些目录,否则容易引起怀疑。(Windows 目录除外)


(三)、依附启动:
这类启动方式已经有几分类似病毒了。这种方法是利用病毒的传染机制把要启动的
EXE 文件附着在另外的一个和多个EXE 文件上,从而达到启动这个EXE 文件就可以启动
要启动的文件的目的。记得1999 年YAI 这个木马流行的时候,它就使用了依附一个EXE
文件而达到启动的目的,但是由于BUGS 和方式问题该木马的破坏作用却体现在了它”病
毒”的一面。
使用这种启动方法一定要注意不能破坏EXE 文件(否则会很容易被发现),而且最好把
木马定位在固定的一个或者几个EXE 文件上。如:IEXPLORE.EXE(IE 的EXE 文件),
RNAPP.EXE(拨号网络的EXE 文件)等等。
注意:这种方法的使用比较危险,技术上也需要相当功底,而且和病毒的距离很近,慎用。


(四)、计划任务启动方式:

Windows 的计划任务是Windows 的一个预置实现某些操作而使用的一个功能。但是如
果利用这个功能也是能够实现自启动的目的的!由于很多电脑都会自动加载”计划任务”所
以隐蔽性相对不错。
在Windows 默认的情况下,计划任务是一个个保存在C:WindowsTasks 目录下的.job 文
件。.job 文件里包括了启动方式、文件路径等一系列的信息。编制出或者使软件自己可以写
出.job 文件,则是关键。之后在相关地方写入标记启动即可。
由于时间关系,这个方法没有来得及试验,读者可以自己试验一下。
(五)、AutoRun.inf 启动方式:
Autorun.inf 这个标识也许大家都见过。是的,这个最常出现在光盘中,用于光盘自启动。
每次把光盘放入光驱中的时候,系统会通过这个文件来决定是否自动启动光盘。但是有没有
想过,这个文件也可以用来自启动一些文件!
Autorun.inf 的内容通常是:
[AUTORUN]
OPEN=file.exe
ICON=icon.ico
OPEN 中是插入光盘或者双击光盘盘符就会运行的可执行文件的名称。
ICON 中是该光驱驱动器的图标文件。该文件可以是其他文件。如:
[AUTORUN]
OPEN=file.exe
ICON=icon.exe,2
其中icon.exe 是一个有图标文件的可执行文件,“,2 ”则是该文件中的第3 个图标。(“,0 ”
是第一个图标,无数字则默认为第一个图标)。最关键的是该Autorun.inf 文件是可以被用在
硬盘的驱动器上的。也就是说,如果把光盘上的所有文件及目录原封不动的复制到某一硬盘
的根目录下,则双击盘符会出现自动运行文件!如果是木马的话,打一个比方:一个木马如
果执行后被命名为aaa.exe 放置在C:/Windows 目录下。那么该木马可以生成一个autorun.inf
文件于C:下,内容如下:
[AUTORUN]
OPEN=Windowsaaa.exe
ICON=aaa.exe
这样的话,盘符图标为aaa.exe 的第一个图标文件。则在每次双击C 盘的时候都会执行
aaa.exe 文件了。但要注意的是,aaa.exe 文件最好能够打开C 盘目录。(比较容易伪装)
注意:
1)、autorun.inf 的属性被改为隐藏后仍可以正常使用。
2)、autorun.inf 中的路径对相对路径和绝对路径都是可以实现的。也就是说,如果autorun.inf
被放在1 盘符下,也可以2 盘符上的文件!如:
如果把autorun.inf 文件放在C 盘根目录下,内容为
[AUTORUN]
OPEN=D:CCCbbb.exe
ICON=bbb.exe
则这时如果双击C 盘则可以执行D 盘CCC 目录上的bbb.exe 文件!
3)、如果没有OPEN 项目,则系统不执行任何文件,而去执行下一个命令。
4)、如果没有ICON 项目,则该盘符的图标为原Windows 盘符图标,但如果有ICON 项却
设置错误,或者所设置的文件没有图标,则系统会显示为默认的空白图标。

 

 

五、自动启动相关:
A、代启动:
这种启动方式其实只是一个方法的问题。即可以用启动一个正常文件来启动另一个文件,
SubSeven 就用过启动Windos.exe 从而启动SubSeven 的Sever 文件的方法。


B、Start 启动:
在“运行”中或“MS-DOS”方式中输入start 回车,则会显示
Runs a Windows program or an MS-DOS program.
START [options] program [arg...]
START [options] document.ext
/m[inimized] Run the new program minimized (in the background).
/max[imized] Run the new program maximized (in the foreground).
/r[estored] Run the new program restored (in the foreground). [default]
/w[ait]   Does not return until the other program exits.
如果要启动的程序配合这个命令,则可以更加隐蔽,如:
start/m file.exe
但似乎有些有启动画面的软件(如金山词霸)对这条命令并没有反映。


C、控制面板启动:
这是利用控制面板程序可以被类似DLL 执行,从而达到启动目的。
在控制面板中,.cpl 文件是控制面板的原文件。默认的这些文件都会被放置在/%
WINDOWS%/SYSTEM/目录下的,如desk.cpl 是桌面属性、inetcpl.cpl 是Internet 选项之类。
但这些.cpl 文件全都是PE 格式文件,也就是说如果用户把一个可执行的类似DLL 的.cpl 文
件放入%Windows%System 中,则在控制面板中可看到其图标,并可执行!   
由于.cpl 文件的特殊性,需要使用rundll32.exe 来启动该文件。rundll32.exe 是Windows
用来调用动态连接库函数时所使用的文件, 在运行中输入: rundll32
shell32.dll,Control_RunDLL /%path%/desk.cpl,,X
其中shell32.dll 为被调用的DLL 文件,意思为调用shell32.dll 中的Control_RunDLL 来打开
desk.cpl 文件;/%path%/为.cpl 文件的路径,默认为C:WindowsSystem;最后的X 为desk.cpl
文件的页数:从0 开始,0 为第一页(如”显示属性”的”背景”),1 为第二页(如”桌面
属性”的”屏幕保护程序”),依此类推。
但如果照上面的方法做,则该文件会在控制面板中被显示。有两种方法可以不让其显示:
(1)、不要把自己的.cpl 文件放在C:/WINDOWS/SYSTEM 中。因为默认的情况下Windows
会加载的所有.cpl 文件。如果想让其显示则打开C:/WINDOWS 下的Control.ini 文件,在
[MMCPL]中写入类似:
file.cpl=D:pathfile.cpl
的命令,从而达到显示的目的。
(2)、当你看到Control.ini 文件的时候一定可以看到在[MMCPL]上面的[don”t load]。是的,
如果把你的文件以file.cpl=no 的格式写入到这里面,那么文件就不被加载了。反之恢复。


D、其他:
注册表中:
[HKEY_USERS/DEFAULT/Software/Microsoft/Windows/Current Version/Explorer/Advanced]
的”HideFileExt”这个键值是确定Windows 是不是显示扩展名的值,如果其值为1 就隐藏

 

扩展名,为0 则不隐藏。
EXE 文件中:
如SirCam 蠕虫一样,*.EXE 文件的扩展名可以改名称为.BAT、.COM、.PIF、.SCR 等,并
且运行效果一样,反过来不一定。但.EXE 文件并不能更名为.LNK 文件,这也许也是SirCam
的一个BUG。


后序
浩浩荡荡的数千字发完了,关于Windows 自启动方式也终于介绍完了。在全部发到网
上以后,才真正的知道它的庞杂。扬扬洒洒的近万言,希望各位朋友能够仔细阅读,这里包
含了许多专业性的知识在里面,希望有需要的朋友加以学习,指导。Windows 的自启动方式
有很多样式。这是Windows 系统的一部分。一个隐蔽而又很少有人知道的自启动方式是远
程监控软件成为一个优秀的软件的必要的条件。对于普通用户来说,了解这些信息也是非常
必要的。笔者试图全面的介绍这些可以启动的方法和想法。文中提到的一些自启动方法有的
很普通,有的则很少有人知道,有些方式甚至有可能是第一次被写出来。其中的许多方式笔
者加入了自己的想法,使一些方式虽然普通但却很隐蔽。其中所提的自启动方式全部在
Windows98 或提到的相应的系统中默认测试通过。对Windows ME 和Windows2000 只有部
分适用。通过对不同平台的自启动方式测试,也可以发现Windows 系统还是朝着越来越完
善的方向发展。所以在未来的某个WINDOWS 版本中,不能保证这些能被使用。但总会有
一些可以利用的地方。如果这篇涂鸦能给各位读者带来一些启发,那么偶将会感到非常高兴!

  评论这张
 
阅读(186)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017