windows启动项菜单Word文件下载.docx
《windows启动项菜单Word文件下载.docx》由会员分享,可在线阅读,更多相关《windows启动项菜单Word文件下载.docx(12页珍藏版)》请在冰豆网上搜索。
目录[隐藏]
分类
1.一般启动
2.特殊启动
启动项的查看
启动项的优化
[编辑本段]
分类
一般启动
1)“启动”文件夹──最常见的自启动程序文件夹。
它位于系统分区的“documentsandSettings-->
User-->
〔开始〕菜单-->
程序”目录下。
这时的User指的是登录的用户名。
其对应的注册表位置为:
HKEY_CURRNT_USER\Software\Micrsoft\Windows\CurrentVersion\Explorer\ShellFolders
Startup=\"
%directory%"
\
"
为启动文件夹。
2)“AllUsers”中的自启动程序文件夹──另一个常见的自启动程序文件夹。
AllUser-->
前面提到的“启动”文件夹运行的是登录用户的自启动程序,而“AllUsers”中启动的程序是在所有用户下都有效(不论你用什么用户登录)。
3)“Load”键值──一个埋藏得较深的注册表键值。
位于〔HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load〕主键下。
4)“Userinit”键值──用户相关
它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit〕主键下,也是用于系统启动时加载程序的。
一般情况下,其默认值为“userinit.exe”,由于该子键的值中可使用逗号分隔开多个程序,因此,在键值的数值中可加入其它程序。
5)“Explorer\Run”键值──与“load”和“Userinit”两个键值不同的是,“Explorer\Run”同时位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕两个根键中。
它在两个中的位置分别为(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。
☆小提示HKEY_CURRNT_USER和HKEY_LOCAL_MACHINE的区别是:
前者对于当前用户有效,后者对于所以用户都有效。
6)“RunServicesOnce”子键──它在用户登录前及其它注册表自启动程序加载前面加载。
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。
7)“RunServices”子键──它也是在用户登录前及其它注册表自启动程序加载前面加载。
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。
8)“RunOnce\Setup”子键──其默认值是在用户登录后加载的程序。
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。
9)“RunOnce”子键──许多自启动程序要通过RunOnce子键来完成第一次加载。
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。
位于〔HKEY_CURRENT_USER〕根键下的RunOnce子键在用户登录扣及其它注册表的Run键值加载程序前加载相关程序,而位于〔HKEY_LOCAL_MACHINE〕主键下的Runonce子键则是在操作系统处理完其它注册表Run子键及自启动文件夹内的程序后再加载的。
在WindowsXP中还多出一个〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子键,其道理相同。
10)“Run”子键──目前最常见的自启动程序用于加载的地方。
这个键同时位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。
其中位于〔HKEY_CURRENT_USER〕根键下的Run键值紧接着〔HKEY_LOCAL_MACHINE〕主键下的Run键值启动,但两个键值都是在“启动”文件夹之前加载。
11)再者就是Windows中加载的服务了,它的级别较高,用于最先加载。
其位于〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下,看到了吗,你所有的系统服务加载程序都在这里了!
12)WindowsShell──系统接口
它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\〕下面的Shell字符串类型键值中,基默认值为Explorer.exe,当然可能木马程序会在此加入自身并以木马参数的形式调用资源管理器,以达到欺骗用户的目的。
13)BootExecute──属于启动执行的一个项目
可以通过它来实现启动Natvice程序,Native程序在驱动程序和系统核心加载后将被加载,此时会话管理器(smss.exe)进行windowsNT用户模式并开始按顺序启动native程序
它位于注册表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\SessionManager\〕下面,有一个名为BootExecute的多字符串值键,它的默认值是"
autocheckautochk*"
,用于系统启动时的某些自动检查。
这个启动项目里的程序是在系统图形界面完成前就被执行的,所以具有很高的优先级。
14)策略组加载程序──打开Gpedit.msc,展开“用户配置——管理模板——系统——登录”,就可以看到“在用户登录时运行这些程序”的项目,你可以在里面添加。
在注册表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GroupPolicyObjects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相对应的键值。
15)十五、其他启动,基于NT技术的系统都没有以下。
HKEY_CURRNT_USER\Software\Micrsoft\Windows\CurrentVersion\Polices\System\Shell
HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRNT_USER\Software\Polices\Micrsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\Software\Polices\Micrsoft\Windows\System\Scripts
特殊启动
1)关联启动
在注册表中除了上述普通的期待方式外,还可以利用特殊的方式达到启动目的,如关联启动。
当我们打开TXT文件时,系统自动会用记事本打开,自动运行notepad.exe。
当然这种关联是可以改变的,其键值位置如下:
HKEY_CLASS_ROOT\exefile\shell\open\command@="
\%1\"
%*
HKEY_CLASS_ROOT\batfile\shell\open\command@="
HKEY_CLASS_ROOT\htafile\shell\open\command@="
HKEY_CLASS_ROOT\txtfile\shell\open\command@="
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command@="
HKEY_LOCAL_MACHINE\Software\Classes\batfile\shell\open\command@="
HKEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command@="
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command@="
从注册表路径我可隐约得出,这些都是经常被执行的可执行文件的键值。
往往一些木马可以改变这些键值达到加载目的。
如果我们把"
%*改成xx.exe"
%*则xx.exe就在每次执行类型文件(具体看哪一类型文件)时执行。
2)屏幕保护启动
windows的屏幕保护是一个.scr文件,这是个PE文件,如果把.scr改为.exe该程序仍然可以正常启动。
类似的.exe文件更名为.scr也是被运行的,所以只要替换