一、“启动”项目 我们知道,windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它。 如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。 具体的位置是“开始”菜单中的“启动”选项:(不过这个子阳很少用) 在硬盘上的位置是:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动; 在注册表中的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run; 现在你可以打开看看里面有没有什么不明的程序存在。 二、msconfig msconfig是Windows系统中的“系统配置实用程序”,它管的方面可够宽,包括:system.ini.win.ini,启动项目等。同样,里面也是自启动程序非常喜欢呆的地方! 1.system.ini 首先,在“运行”对话框中输入“msconfig”过来启动系统配置实用程序(下同),找到system.ini标签,里面的 “shell=……”就可以用来加载特殊的程序,如果你的shell=后面不是默认的explorer.exe,或者说后面还有一个程序的名字,那你可要小心了,请仔细检查相应的程序是否安全! 2.win.ini 如果我们想加载一个程序:hack.exe,那么可以在win。ini中用下面的语句来实现: [windows] load=hack.exe run=hacke.exe 该怎么做,你应该知道了吧! 3.“启动”项目 系统配置实用程序中的启动标签和我们上面讲的"启动"文件夹并不是同一个东西,在系统配置实用程序中的这个启动项目是Windows系统启动项目的集合地,几乎所有的启动项目部能在这里找到----当然,经过特殊编程处理的程序可以通过另外的方法不在这里显示。 打开“启动”标签,“启动项目”中罗列的是开机启动程序的名称,“命令”下是具体的程序附加命令,最后的"位置"就是该程序在注册表中的相应位置了,你可以对可疑的程序进行详细的路径、命令检查,一旦发现错误,就可以用下方的"禁用"来禁止该程序开机时候的加载。 一般来讲,除系统基于硬件部分和内核部分的系统软件的启动项目外,其他的启动项目都是可以适当更改的,包括:杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说,启动项目中包含了所有我们可见的程序的列表,你完全可以通过它来管理你的启动程序! 三、wininit.ini 我们知道,Wiidows的安装程序常常调用这个程序来实现安装程序后的删除工作,所以不要小看它,如果在它上面做手脚的话,可以说是非常隐蔽、非常完美的! 它在系统盘的Windows目录下,用记事本打开它 (有时候是wininit.hak文件)可以看到相应的内容,很明显,我们可以在里面添加相应的语句来达到修改系统时候程序或者是删除程序的目的如果是文件关联型的木马,可以通过winint.ini来删除它感染后的原始文件,从而达到真正隐藏自己的目的!
|