病毒编写Windows 的自启动(2)

这个启动方式虽然比较隐蔽，但通过msconfig依旧可以在“启动”页中看出来。
2.第二自启动目录：
是的，其实，Windows还有另外一个自启动目录，而且很明显但却经常被人们忽略的一个。
该路径位于：
C:\WINDOWS\All Users\Start Menu\Programs\StartUp（English）
C:\WINDOWS\All Users\Start Menu\Programs\启动（Chinese）
这个目录的使用方法和第一自启动目录是完全一样的。只要找到该目录，将所需要启动的文件拖放进去就可以达到启动的目的。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\User Shell Folders]
"Common Startup"="%Directory%"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\Shell Folders]
"Common Startup"="%Directory%"
值得注意的是：该目录在开始菜单的“启动”目录中是完全不能被看见的。而伴随着每次启动，该目录下的非隐藏文件也会随之启动！
另外，在Msconfig中可以看到在这个目录下要启动的文件。


2.系统配置文件启动：
由于系统的配置文件对于大多数的用户来说都是相当陌生的；这就造成了这些启动方法相对来说都是相当隐蔽的，所以这里提到的一些方法常常会被用于做一些破坏性的操作，请读者注意。
1.WIN.INI启动：
启动位置（file.exe为要启动的文件名称）：

[windows]
load=file.exe
run=file.exe
注意：load=与run=的区别在于：通过load=运行文件，文件会在后台运行（最小化）；而通过run=来运行，则文件是在默认状态下被运行的。
2.SYSTEM.INI启动：
启动位置（file.exe为要启动的文件名称）：
默认为：
[boot]
Shell=Explorer.exe
可启动文件后为：
[boot]
Shell=Explorer.exe file.exe
说明：
笔者记得在诺顿先生（就是开发出Norton系列软件的人）写的一本书里面曾经说过，1、2这两个文件的有无对系统没有什么影响，但由于时间的关系，笔者没有来得及试验，有兴趣者可以试一试。
不过有一点是可以肯定的，这样的启动方式往往会被木马或一些恶作剧程序（如，妖之吻）利用而导致系统的不正常。由于一般用户很少会对这两个文件关心，甚至有的人不知道这些文件是做什么用的，所以隐蔽性很好。但由于其使用的越来越频繁，这种启动方式也被渐渐的察觉了。用户可以使用msconfig这个命令实现检查是否有什么程序被加载。具体的是在看是菜单中的“运行”中输入msconfig回车，之后按照文字说明即可。
注意：
1. 和WIN.INI文件不同的是，SYSTEM.INI的启动只能启动一个指定文件，不要把Shell=Explorer.exe file.exe换为Shell=file.exe，这样会使Windows瘫痪！
2. 这种启动方式提前于注册表启动，所以，如果想限制注册表中的文件的启动，可是使用这种方法。
3.WININIT.INI启动：
Wininit.ini这个文件也许很多人不知道，一般的操作中用户也很少能直接和这个文件接触。但如果你编写过卸载程序的话，也许你会知道这个文件。
WinInit即为Windows Setup Initialization Utility。翻译成中文就是Windows安装初始化工具。这么说也许不明白，如果看到如下提示信息：
Please wait while Setup updates your configuration files.
This may take a few minutes...
大家也许就都知道了！这个就是Wininit.ini在起作用！
由于在Windows下，许多的可执行文件和驱动文件是被执行到内存中受到系统保护的。所以在Windows的正常状态下更改这些文件就成了问题，因此出现了Wininit.ini这个文件来帮助系统做这件事情。它会在系统装载Windows之前让系统执行一些命令，包括复制，删除，重命名等，以完成更新文件的目的。Wininit.ini文件存在于Windows目录下，但在一般时候我们在C:\Windows目录下找不到这个文件，只能找到它的exe程序Wininit.exe。原因就是Wininit.ini在每次被系统执行完它其中的命令时就会被系统自动删除，直到再次出现新的Wininit.ini文件……之后再被删除。
文件格式：
[rename]
file1=file2
file1=file2的意思是把file2文件复制为文件名为file1的文件，相当于覆盖file1文件。
这样启动时，Windows就实现了用file2更新file1的目的；如果file1不存在，实际结果是将file2复制并改名为file1；如果要删除文件，则可使用如下命令：
[rename]
nul=file2
这也就是说把file2变为空，即删除的意思。
以上文件名都必须包含完整路径。
注意：1.由于Wininit.ini文件处理的文件是在Windows启动以前处理的，所以不支持长文件名。
2.以上的文件复制、删除、重命名等均是不提示用户的情况下执行的。有些病毒也会利用这个文件对系统进行破坏，所以用户如果发现系统无故出现：
Please wait while Setup updates your configuration files.
This may take a few minutes...
那么也许系统就有问题了。
3. 在Windows 95 Resource Kit中提到过Wininit.ini文件有三个可能的段，但只叙述了[rename]段的用法。
4.WINSTART.BAT启动：
这是一个系统自启动的批处理文件，主要作用是处理一些需要复制、删除的任务。譬如有些软件会在安装或卸载完之后要求重新启动，就可以利用这个复制和删除一些文件来达到完成任务的目的。如：
“@if exist C:\WINDOWS\TEMP\PROC.BAT call C:\WINDOWS\TEMP\PROC.BAT”
这里是执行PROC.BAT文件的命令；
“call filename.exe > nul”
这里是去除任何在屏幕上的输出。
值得注意的是WinStart.BAT文件在某种意义上有和AUTOEXEC.BAT一样的作用。如果巧妙安排完全可以达到修改系统的目的！
5.AUTOEXEC.BAT启动：
这个就没的说了，应该是用户再熟悉不过的系统文件之一了。每次重新启动系统时在DOS下启动。恶意的程序往往会利用这个文件做一些辅助的措施。
不过，在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y等；由于BAT恶意程序的存在，这个机会大大地增加了。譬如最近很流行的SirCam蠕虫也利用了Autoexec.bat文件。
说明：
4、5这两个文件都是批处理文件，其作用往往不能完全写出来，因为批处理的用处在DOS时代的应用太广泛，它的功能相对来说也是比较强大。想利用这两个文件，需要对DOS有一定的了解。.

病毒编写Windows 的自启动(3)：【上一篇】
病毒编写Windows 的自启动(1)：【下一篇】