【标 题】:病毒编写Windows 的自启动(1)
【关键字】:Windows,in,Win,病毒,启动,Window,do,Wi,Windows
【来 源】:网络
Windows的自启动方式
正文:
最后一次修改日期:August 12, 2002
目录:
WINDOWS的自启动方式 1
正文: 1
目录: 1
前言: 2
警告: 2
Windows的自启动方式: 2
1.自启动目录: 2
1.第一自启动目录: 2
2.第二自启动目录: 3
2.系统配置文件启动: 4
1.WIN.INI启动: 4
2.SYSTEM.INI启动: 4
3.WININIT.INI启动: 5
4.WINSTART.BAT启动: 6
5.AUTOEXEC.BAT启动: 6
3.注册表启动: 6
1.常规启动: 6
2.特殊启动1: 8
3.特殊启动2: 8
4.其他启动方式: 8
1.C:\Explorer.exe启动方式: 9
2.屏幕保护启动方式: 9
3.依附启动: 10
4.计划任务启动方式: 10
5.AutoRun.inf启动方式: 10
5.自动启动相关: 11
1.代启动: 11
2.Start启动: 12
3.控制面板启动: 12
4.其他: 12
最后: 13
主要参考资料: 14
http://www.tlsecurity.net/auto.html 14
http://support.microsoft.com/support/kb/articles/Q232/5/09.ASP 17
Syntax for the RunOnceEx Registry Key 17
SUMMARY 17
MORE INformATION 17
RunOnceEx Sample to Run Notepad 18
Sample Syntax 18
Notes 18
Definition of values and Subkeys 18
Wininit.ini与病毒(名称为笔者所加) 20
http://www.microsoft.com/technet/security/bulletin/fq00-052.asp 23
前言:
有时候人们往往会为了一个程序的启动而头痛,因为一些用户往往不知道那些文件是如何启动的。所以经常会有些没用的东西挂在系统上占用资源。有时候也会有人因为不知道如何启动某个文件而头痛。更有些特洛依木马的作者因为不清楚系统的自启动方式而使自己的木马轻松被别人发现……
Windows的自启动方式其实有许多方式。除了一些常见的启动方式之外,还有一些非常隐蔽的可用来启动文件的方式。本文总结如下,虽然不是全部,但我想应该会对大家有所帮助。文章全部以系统默认的状态为准,以供研究。
其中(English)代表英文操作系统,(Chinese)代表中文操作系统。本文没加说明说的全为中文Windows98操作系统。
警告:
文中提及的一些操作可能会涉及到系统的稳定性。例如如果不正确地使用注册表编辑器可以导致可能重新安装系统这样严重的问题。微软也不能保证因不正常使用注册表编辑器而造成的结果可以被解决。笔者不对使用后果负责,请根据自己的情况使用。
Windows的自启动方式:
1.自启动目录:
1.第一自启动目录:
默认路径位于:
C:\windows\start menu\programs\startup(English)
C:\windows\start menu\programs\启动(Chinese)
这是最基本、最常用的Windows启动方式,主要用于启动一些应用软件的自启动项目,如Office的快捷菜单。一般用户希望启动时所要启动的文件也可以通过这里启动,只需把所需文件或其快捷方式放入文件夹中即可。
对应的注册表位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders]
Startup="%Directory%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\User Shell Folders]
Startup="%Directory%"
其中“%Directory%”为启动文件夹位置。
英文默认为:
C:\windows\start menu\programs\startup
中文默认为:
C:\windows\start menu\programs\启动
在开始菜单的“启动”文件夹是可更改的,如果用户更改了启动文件夹,则以上注册表的键值均会改变为相应的名称。
值得注意的是:开始菜单的“启动”文件夹中的内容虽然在默认的状态下可以被用户看得一清二楚。但通过改动还是可以达到相当隐蔽地启动的目的的:
首先,“启动”文件夹中的快捷方式或其他文件的属性可以改变为“隐藏”。这样可以达到系统不启动被隐藏的文件,等到需要启动的时候又可以通过更改回文件属性而恢复启动的作用。
其次,其实“启动”文件夹只是一个普通的文件夹,但是由于系统监视了这个文件夹,所以变得有些特殊,但文件夹有的功能该文件夹也是有的。譬如“启动”文件夹的名称是可以更改的,并且“启动”文件夹也可以设置属性。如果把属性设置为“隐藏”,则在系统中的【开始】?;【程序】菜单中是看不到“启动”文件夹的(即使在“文件夹选项”中已经设定了“显示所有文件”)。而系统还会启动这个被隐藏的文件夹中的非隐藏文件。
敏感的人们也许已经发现问题。举一个例子:
如果我想启动A木马的server端服务器,我可以把原来的“启动”菜单的名称更改为“StartUp”(这里是随便改的,注册表相应的键值也会自动更改。)之后再创建一个名为“启动”的文件夹,把“StartUp”菜单中的文件全部复制(这里用复制,可以骗过用户的检查)到“启动”菜单中,然后把A木马的server程序放入“StartUp”文件夹中,最后把“StartUp”文件夹隐藏。大功告成!
从外表看来,用户的【开始】?;【启动】目录还在,而且要启动的文件也在。但系统此时启动的文件不是名为“启动”的文件夹中的文件,而是名为“StartUp”的文件夹中的文件。如果木马做的好的话,完全可以在每次启动的时候把“StartUp”中的文件复制到“启动”目录中来达到实时更新启动目录的目的。由于“StartUp”文件夹被隐藏,从【开始】?;【程序】中是无法看到真正的启动菜单“StartUp”的,所以达到了隐蔽启动的目的!
【关键字】:Windows,in,Win,病毒,启动,Window,do,Wi,Windows
【来 源】:网络
病毒编写Windows 的自启动(1)
正文:
最后一次修改日期:August 12, 2002
目录:
WINDOWS的自启动方式 1
正文: 1
目录: 1
前言: 2
警告: 2
Windows的自启动方式: 2
1.自启动目录: 2
1.第一自启动目录: 2
2.第二自启动目录: 3
2.系统配置文件启动: 4
1.WIN.INI启动: 4
2.SYSTEM.INI启动: 4
3.WININIT.INI启动: 5
4.WINSTART.BAT启动: 6
5.AUTOEXEC.BAT启动: 6
3.注册表启动: 6
1.常规启动: 6
2.特殊启动1: 8
3.特殊启动2: 8
4.其他启动方式: 8
1.C:\Explorer.exe启动方式: 9
2.屏幕保护启动方式: 9
3.依附启动: 10
4.计划任务启动方式: 10
5.AutoRun.inf启动方式: 10
5.自动启动相关: 11
1.代启动: 11
2.Start启动: 12
3.控制面板启动: 12
4.其他: 12
最后: 13
主要参考资料: 14
http://www.tlsecurity.net/auto.html 14
http://support.microsoft.com/support/kb/articles/Q232/5/09.ASP 17
Syntax for the RunOnceEx Registry Key 17
SUMMARY 17
MORE INformATION 17
RunOnceEx Sample to Run Notepad 18
Sample Syntax 18
Notes 18
Definition of values and Subkeys 18
Wininit.ini与病毒(名称为笔者所加) 20
http://www.microsoft.com/technet/security/bulletin/fq00-052.asp 23
前言:
有时候人们往往会为了一个程序的启动而头痛,因为一些用户往往不知道那些文件是如何启动的。所以经常会有些没用的东西挂在系统上占用资源。有时候也会有人因为不知道如何启动某个文件而头痛。更有些特洛依木马的作者因为不清楚系统的自启动方式而使自己的木马轻松被别人发现……
Windows的自启动方式其实有许多方式。除了一些常见的启动方式之外,还有一些非常隐蔽的可用来启动文件的方式。本文总结如下,虽然不是全部,但我想应该会对大家有所帮助。文章全部以系统默认的状态为准,以供研究。
其中(English)代表英文操作系统,(Chinese)代表中文操作系统。本文没加说明说的全为中文Windows98操作系统。
警告:
文中提及的一些操作可能会涉及到系统的稳定性。例如如果不正确地使用注册表编辑器可以导致可能重新安装系统这样严重的问题。微软也不能保证因不正常使用注册表编辑器而造成的结果可以被解决。笔者不对使用后果负责,请根据自己的情况使用。
Windows的自启动方式:
1.自启动目录:
1.第一自启动目录:
默认路径位于:
C:\windows\start menu\programs\startup(English)
C:\windows\start menu\programs\启动(Chinese)
这是最基本、最常用的Windows启动方式,主要用于启动一些应用软件的自启动项目,如Office的快捷菜单。一般用户希望启动时所要启动的文件也可以通过这里启动,只需把所需文件或其快捷方式放入文件夹中即可。
对应的注册表位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders]
Startup="%Directory%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\User Shell Folders]
Startup="%Directory%"
其中“%Directory%”为启动文件夹位置。
英文默认为:
C:\windows\start menu\programs\startup
中文默认为:
C:\windows\start menu\programs\启动
在开始菜单的“启动”文件夹是可更改的,如果用户更改了启动文件夹,则以上注册表的键值均会改变为相应的名称。
值得注意的是:开始菜单的“启动”文件夹中的内容虽然在默认的状态下可以被用户看得一清二楚。但通过改动还是可以达到相当隐蔽地启动的目的的:
首先,“启动”文件夹中的快捷方式或其他文件的属性可以改变为“隐藏”。这样可以达到系统不启动被隐藏的文件,等到需要启动的时候又可以通过更改回文件属性而恢复启动的作用。
其次,其实“启动”文件夹只是一个普通的文件夹,但是由于系统监视了这个文件夹,所以变得有些特殊,但文件夹有的功能该文件夹也是有的。譬如“启动”文件夹的名称是可以更改的,并且“启动”文件夹也可以设置属性。如果把属性设置为“隐藏”,则在系统中的【开始】?;【程序】菜单中是看不到“启动”文件夹的(即使在“文件夹选项”中已经设定了“显示所有文件”)。而系统还会启动这个被隐藏的文件夹中的非隐藏文件。
敏感的人们也许已经发现问题。举一个例子:
如果我想启动A木马的server端服务器,我可以把原来的“启动”菜单的名称更改为“StartUp”(这里是随便改的,注册表相应的键值也会自动更改。)之后再创建一个名为“启动”的文件夹,把“StartUp”菜单中的文件全部复制(这里用复制,可以骗过用户的检查)到“启动”菜单中,然后把A木马的server程序放入“StartUp”文件夹中,最后把“StartUp”文件夹隐藏。大功告成!
从外表看来,用户的【开始】?;【启动】目录还在,而且要启动的文件也在。但系统此时启动的文件不是名为“启动”的文件夹中的文件,而是名为“StartUp”的文件夹中的文件。如果木马做的好的话,完全可以在每次启动的时候把“StartUp”中的文件复制到“启动”目录中来达到实时更新启动目录的目的。由于“StartUp”文件夹被隐藏,从【开始】?;【程序】中是无法看到真正的启动菜单“StartUp”的,所以达到了隐蔽启动的目的!
【相关文章】
病毒编写Windows 的自启动(2)
病毒编写Windows 的自启动(3)
病毒编写Windows 的自启动(4)
病毒编写Windows 的自启动(5)
Tini 的VC原代码
Win9x病毒--Win95.LockIEPage.878原代码
怎样启动一个程序而不显示它
探测Win2K/XP/2003本机系统信息 下
VBS脚本病毒原理分析与防范
编写Linux服务器远程管理程序
【随机文章】
Building Browser Helper Objects with Visual Studio 2005
如何在servlet中画图
近期烦心的人
ASP文件操作函数详解
达内听课笔记第三册整理
innosetup打包的安装文件如何注册控件[转载]
Photoshop 润饰图像(十一)模糊过滤
实用无线话筒
Javascript编码问题
Solaris基本配置
【相关评论】
没有相关评论
【发表评论】
|