科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道系统安全之Windows启动安全隐患详解

系统安全之Windows启动安全隐患详解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Windows的自启动有许多方式。除了一些常见的启动方式之外,还有一些非常隐蔽的可用来启动文件的方式。Windows的自启动是Windows系统的一部分,对于普通用户来说,了解这些信息也是非常必要的。

作者:51CTO.COM 2007年10月12日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共6页)

  上面的语句行中,file1=file2的意思是把file2文件复制为文件名为file1的文件,相当于覆盖file1文件,之后再把原来的file2文件删除。

  这样启动时,Windows就实现了用file2更新file1的目的;如果file1不存在,实际结果是将file2复制并改名为file1;如果要删除文件,则可使用如下命令:

  [rename]

  nul=file2

  这也就是说把file2变为空,即删除的意思。

  以上文件名都必须包含完整路径。

  注意:由于Wininit.ini处理的文件是在Windows启动以前处理的,所以不支持长文件名;以上的文件复制、删除、重命名等均是不提示用户的情况下执行的。有些病毒也会利用这个文件对系统进行破坏,所以用户如果发现系统无故出现:

  Please wait while Setup updates your configuration files.

  This may take a few minutes…

  那么也许系统就有问题了。

  4.Winstart.bat启动

  这是一个系统自启动的批处理文件,主要作用是处理一些需要复制、删除的任务。比如有些软件会在安装或卸载完之后要求重新启动,就可以利用这个批处理复制和删除一些文件来达到完成任务的目的。如:

  “@if exist C:\Windows\Temp\Proc.bat call C:\Windows\Temp\Proc.bat”

  这里是执行Proc.bat文件的命令;

  “call filename.exe > nul”

  这里是去除任何在屏幕上的输出。

  5.Autoexec.bat启动

  Autoexec.bat应该是用户再熟悉不过的系统文件了。每次重新启动系统时在DOS下启动。恶意的程序往往会利用这个文件做一些辅助的措施。

  不过,在Autoexec.bat文件中会包含有恶意代码。如format c: /y等;由于BAT恶意程序的存在,这个机会大大地增加了。比如最近很流行的SirCam蠕虫也就是利用了Autoexec.bat文件。

  三、注册表启动

  1.常规启动

  在下面的注册表项中,\%path%\表示任意路径,file.exe表示需要运行的程序。

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

  "Anything"="\%path%\file.exe"

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

  "Anything"="\%path%\file.exe"

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  ?"Anything"="\%path%\file.exe"

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  ?"Anything"="\%path%\file.exe"

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  "Whatever"="c:\runfolder\program.exe"

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  "Whatever"="c:\runfolder\program.exe"

  注意:

  (1)解除这里相应的自启动项只需删除该键值即可,但注意不要删除如SystemTray、ScanRegistry等这样的系统键值。

  (2)如果只想不启动而保留键值,只需在该键值加入rem即可。如:“rem C:\Windows\a.exe”。

  (3)在注册表中的自启动项中没有这两项:

  [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices]、

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

  关于:

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

  有特殊的语法。例如,运行Notepad.exe:

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

  "Title"="My Setup Title"

  "Flag"=dword:00000002

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001

  "RunMyApp"="||notepad.exe"

  语法为:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

  Flags = 0x0000000

  Title = "Status Dialog Box Title"

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Depend

  0001 = "xxx1"

  000X = "xxxx"

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001

  Entry1 = "MyApp1.exe"

  EntryX = "MyApp2.exe"

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000x

  …

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章