|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 前言: 有時候人們往往會為了一個程序的啟動而頭痛,因為一些用戶往往不知道那些文件是如何啟動的。所以經常會有些沒用的東西掛在系統上占用資源。有時候也會有人因為不知道如何啟動某個文件而頭痛。更有些特洛依木馬的作者因為不清楚系統的自啟動方式而使自己的木馬輕松被別人發現…… Windows的自啟動方式其實有許多方式。除了一些常見的啟動方式之外,還有一些非常隱蔽的可用來啟動文件的方式。本文總結如下,雖然不是全部,但我想應該會對大家有所幫助。文章全部以系統默認的狀態為準,以供研究。 其中(English)代表英文操作系統,(Chinese)代表中文操作系統。本文沒加說明指的全為中文Windows98操作系統。 警告: 文中提及的一些操作可能會涉及到系統的穩定性。例如如果不正確地使用注冊表編輯器可以導致可能重新安裝系統這樣嚴重的問題。微軟也不能保證因不正常使用注冊表編輯器而造成的結果可以被解決。筆者不對使用后果負責,請根據自己的情況使用。 Windows的自啟動方式: 一.自啟動目錄: 1.第一自啟動目錄: 默認路徑位于: C:windowsstart menuprogramsstartup(English) C:windowsstart menuprograms啟動(Chinese) 這是最基本、最常用的Windows啟動方式,主要用于啟動一些應用軟件的自啟動項目,如Office的快捷菜單。一般用戶希望啟動時所要啟動的文件也可以通過這里啟動,只需把所需文件或其快捷方式放入文件夾中即可。 對應的注冊表位置: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders] Startup=\"%Directory%\" [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders] Startup=\"%Directory%\" 其中“%Directory%”為啟動文件夾位置。 英文默認為: C:windowsstart menuprogramsstartup 中文默認為: C:windowsstart menuprograms啟動 在開始菜單的“啟動”文件夾是可更改的,如果用戶更改了啟動文件夾,則以上注冊表的鍵值均會改變為相應的名稱。 值得注意的是:開始菜單的“啟動”文件夾中的內容雖然在默認的狀態下可以被用戶看得一清二楚。但通過改動還是可以達到相當隱蔽地啟動的目的的: 首先,“啟動”文件夾中的快捷方式或其他文件的屬性可以改變為“隱藏”。這樣可以達到系統不啟動被隱藏的文件,等到需要啟動的時候又可以通過更改回文件屬性而恢復啟動的作用。 其次,其實“啟動”文件夾只是一個普通的文件夾,但是由于系統監視了這個文件夾,所以變得有些特殊,但文件夾有的功能該文件夾也是有的。譬如“啟動”文件夾的名稱是可以更改的,并且“啟動”文件夾也可以設置屬性。如果把屬性設置為“隱藏”,則在系統中的【開始】【程序】菜單中是看不到“啟動”文件夾的(即使在“文件夾選項”中已經設定了“顯示所有文件”)。而系統還會啟動這個被隱藏的文件夾中的非隱藏文件。 敏感的人們也許已經發現問題。舉一個例子: 如果我想啟動A木馬的server端服務器,我可以把原來的“啟動”菜單的名稱更改為“StartUp”(這里是隨便改的,注冊表相應的鍵值也會自動更改。)之后再創建一個名為“啟動”的文件夾,把“StartUp”菜單中的文件全部復制(這里用復制,可以騙過用戶的檢查)到“啟動”菜單中,然后把A木馬的server程序放入“StartUp”文件夾中,最后把“StartUp”文件夾隱藏。大功告成! 從外表看來,用戶的【開始】【啟動】目錄還在,而且要啟動的文件也在。但系統此時啟動的文件不是名為“啟動”的文件夾中的文件,而是名為“StartUp”的文件夾中的文件。如果木馬做的好的話,完全可以在每次啟動的時候把“StartUp”中的文件復制到“啟動”目錄中來達到實時更新啟動目錄的目的。由于“StartUp”文件夾被隱藏,從【開始】【程序】中是無法看到真正的啟動菜單“StartUp”的,所以達到了隱蔽啟動的目的! 這個啟動方式雖然比較隱蔽,但通過msconfig依舊可以在“啟動”頁中看出來。 2.第二自啟動目錄: 是的,其實,Windows還有另外一個自啟動目錄,而且很明顯但卻經常被人們忽略的一個。 該路徑位于: C:WINDOWSAll UsersStart MenuProgramsStartUp(English) C:WINDOWSAll UsersStart MenuPrograms啟動(Chinese) 這個目錄的使用方法和第一自啟動目錄是完全一樣的。只要找到該目錄,將所需要啟動的文件拖放進去就可以達到啟動的目的。 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerUser Shell Folders] \"Common Startup\"=\"%Directory%\" [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShell Folders] \"Common Startup\"=\"%Directory%\" 值得注意的是:該目錄在開始菜單的“啟動”目錄中是完全不能被看見的。而伴隨著每次啟動,該目錄下的非隱藏文件也會隨之啟動! 另外,在Msconfig中可以看到在這個目錄下要啟動的文件。 二.系統配置文件啟動: 由于系統的配置文件對于大多數的用戶來說都是相當陌生的;這就造成了這些啟動方法相對來說都是相當隱蔽的,所以這里提到的一些方法常常會被用于做一些破壞性的操作,請讀者注意。 1.WIN.INI啟動: 啟動位置(file.exe為要啟動的文件名稱): [windows] load=file.exe run=file.exe 注意:load=與run=的區別在于:通過load=運行文件,文件會在后臺運行(最小化);而通過run=來運行,則文件是在默認狀態下被運行的。 2.SYSTEM.INI啟動: 啟動位置(file.exe為要啟動的文件名稱): 默認為: [boot] Shell=Explorer.exe 可啟動文件后為: [boot] Shell=Explorer.exe file.exe 說明: 筆者記得在諾頓先生(就是開發出Norton系列軟件的人)寫的一本書里面曾經說過,1、2這兩個文件的有無對系統沒有什么影響,但由于時間的關系,筆者沒有來得及試驗,有興趣者可以試一試。 不過有一點是可以肯定的,這樣的啟動方式往往會被木馬或一些惡作劇程序(如,妖之吻)利用而導致系統的不正常。由于一般用戶很少會對這兩個文件關心,甚至有的人不知道這些文件是做什么用的,所以隱蔽性很好。但由于其使用的越來越頻繁,這種啟動方式也被漸漸的察覺了。用戶可以使用msconfig這個命令實現檢查是否有什么程序被加載。具體的是在看是菜單中的“運行”中輸入msconfig回車,之后按照文字說明即可。 注意: 1.和WIN.INI文件不同的是,SYSTEM.INI的啟動只能啟動一個指定文件,不要把Shell=Explorer.exe file.exe換為Shell=file.exe,這樣會使Windows癱瘓! 2.這種啟動方式提前于注冊表啟動,所以,如果想限制注冊表中的文件的啟動,可是使用這種方法。 3.WININIT.INI啟動: Wininit.ini這個文件也許很多人不知道,一般的操作中用戶也很少能直接和這個文件接觸。但如果你編寫過卸載程序的話,也許你會知道這個文件。 WinInit即為Windows Setup Initialization Utility。翻譯成中文就是Windows安裝初始化工具。這么說也許不明白,如果看到如下提示信息: Please wait while Setup updates your configuration files. This may take a few minutes... 大家也許就都知道了!這個就是Wininit.ini在起作用! 由于在Windows下,許多的可執行文件和驅動文件是被執行到內存中受到系統保護的。所以在Windows的正常狀態下更改這些文件就成了問題,因此出現了Wininit.ini這個文件來幫助系統做這件事情。它會在系統裝載Windows之前讓系統執行一些命令,包括復制,刪除,重命名等,以完成更新文件的目的。Wininit.ini文件存在于Windows目錄下,但在一般時候我們在C:Windows目錄下找不到這個文件,只能找到它的exe程序Wininit.exe。原因就是Wininit.ini在每次被系統執行完它其中的命令時就會被系統自動刪除,直到再次出現新的Wininit.ini文件……之后再被刪除。 文件格式: [rename] file1=file2 file1=file2的意思是把file2文件復制為文件名為file1的文件,相當于覆蓋file1文件。 這樣啟動時,Windows就實現了用file2更新file1的目的;如果file1不存在,實際結果是將file2復制并改名為file1;如果要刪除文件,則可使用如下命令: [rename] nul=file2 這也就是說把file2變為空,即刪除的意思。 以上文件名都必須包含完整路徑。 注意: 1.由于Wininit.ini文件處理的文件是在Windows啟動以前處理的,所以不支持長文件名。 2.以上的文件復制、刪除、重命名等均是不提示用戶的情況下執行的。有些病毒也會利用這個文件對系統進行破壞,所以用戶如果發現系統無故出現: Please wait while Setup updates your configuration files. This may take a few minutes... 那么也許系統就有問題了。 3. 在Windows 95 Resource Kit中提到過Wininit.ini文件有三個可能的段,但只敘述了[rename]段的用法。 4.WINSTART.BAT啟動: 這是一個系統自啟動的批處理文件,主要作用是處理一些需要復制、刪除的任務。譬如有些軟件會在安裝或卸載完之后要求重新啟動,就可以利用這個復制和刪除一些文件來達到完成任務的目的。如: “@if exist C:WINDOWSTEMPPROC.BAT call C:WINDOWSTEMPPROC.BAT” 這里是執行PROC.BAT文件的命令; “call filename.exe > nul” 這里是去除任何在屏幕上的輸出。 值得注意的是WinStart.BAT文件在某種意義上有和AUTOEXEC.BAT一樣的作用。如果巧妙安排完全可以達到修改系統的目的! 5.AUTOEXEC.BAT啟動: 這個就沒的說了,應該是用戶再熟悉不過的系統文件之一了。每次重新啟動系統時在DOS下啟動。惡意的程序往往會利用這個文件做一些輔助的措施。 不過,在AUTOEXEC.BAT文件中會包含有惡意代碼。如format c: /y等;由于BAT惡意程序的存在,這個機會大大地增加了。譬如最近很流行的SirCam蠕蟲也利用了Autoexec.bat文件。 說明: 4、5這兩個文件都是批處理文件,其作用往往不能完全寫出來,因為批處理的用處在DOS時代的應用太廣泛,它的功能相對來說也是比較強大。想利用這兩個文件,需要對DOS有一定的了解。. 三.注冊表啟動: 注冊表中的啟動應該是被使用最頻繁的啟動方式,但這樣的方式也有一些隱蔽性較高的方法,大致有三種。 1.常規啟動: 其中%path%為任意路徑,file.exe為要運行的程序。 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] \"Anything\"=\"%path%file.exe\" [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce] \"Anything\"=\"%path%file.exe\" [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] \"Anything\"=\"%path%file.exe\" [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce] \"Anything\"=\"%path%file.exe\" [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] \"Whatever\"=\"c:runfolderprogram.exe\" [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] \"Whatever\"=\"c:runfolderprogram.exe\" 注意: (1).如果需要運行.dll文件,則需要特殊的命令行。 如: Rundll32.exe C:WINDOWSFILE.DLL,Rundll32 (2).解除這里相應的自啟動項只需刪除該鍵值即可,但注意不要刪除如SystemTray、ScanRegistry等這樣的系統鍵值。 (3).如果只想不啟動而保留鍵值,只需在該鍵值加入rem即可。如: “remC:Windowsa.exe” (4).在注冊表中的自啟動項中沒有這項: [HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunServices] (5).Run和RunServices的區別在于:Run中的程序是在每次系統啟動時被啟動,RunServices則是會在每次登錄系統時被啟動。 關于: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx] 有特殊的語法: 例如,運行notepad.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx \"Title\"=\"My Setup Title\" \"Flag\"=dword:00000002 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx001 \"RunMyApp\"=\"||notepad.exe\" 語法為: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx Flags = 0x0000000 Title = \"Status Dialog Box Title\" HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExDepend 0001 = \"xxx1\" 000X = \"xxxx\" HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx001 Entry1 = \"MyApp1.exe\" EntryX = \"MyApp2.exe\" HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx00x ... 注意: (1).“xxx1,xxxx”是一個動態鏈接庫(DLL)或.OCX文件名(如My.ocx或My.dll)。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
