| 語言 : |
|
| 百科社區 |百科問答 |提交問題 |詞彙知識 |上傳知識 |
啟動項 |
  |
|
一般啟動(加載服務類) 11)再者就是Windows中加載的服務了,它的級別較高,用於最先加載。 其位於〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下,看到了嗎,你所有的系統服務加載程序都在這裡了! 12)Windows Shell──系統接口它位於〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字符串類型鍵值中,基默認值為Explorer.exe,當然可能木馬程序會在此加入自身並以木馬參數的形式調用資源管理器,以達到欺騙用戶的目的。 13)BootExecute──屬於啟動執行的一個項目 可以通過它來實現啟動Natvice程序,Native程序在驅動程序和系統核心加載後將被加載,此時會話管理器(smss.exe)進行windowsNT用戶模式並開始按順序啟動native程序 它位於註冊表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\〕下面,有一個名為BootExecute的多字符串值鍵,它的默認值是"autocheck autochk *",用於系統啟動時的某些自動檢查。這個啟動項目裡的程序是在系統圖形界面完成前就被執行的,所以具有很高的優先級。 14)策略組加載程序──打開Gpedit.msc,展開“用戶配置——管理模板——系統——登錄”,就可以看到“在用戶登錄時運行這些程序”的項目,你可以在裡面添加。 在註冊表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相對應的鍵值。 其他 15)十五、其他啟動,基於NT技術的系統都沒有以下。 HKEY_CURRNT_USER\Software\Microsoft\Windows\CurrentVersion\Polices\System\Shell HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_CURRNT_USER\Software\Polices\Microsoft\Windows\System\Scripts HKEY_LOCAL_MACHINE\Software\Polices\Microsoft\Windows\System\Scripts 特殊啟動 1)關聯啟動 在註冊表中除了上述普通的期待方式外,還可以利用特殊的方式達到啟動目的,如關聯啟動。當我們打開TXT文件時,系統自動會用記事本打開,自動運行notepad.exe。當然這種關聯是可以改變的,其鍵值位置如下: HKEY_CLASS_ROOT\exefile\shell\open\command @="\%1\" %* HKEY_CLASS_ROOT\batfile\shell\open\command @="\%1\" %* HKEY_CLASS_ROOT\htafile\shell\open\command @="\%1\" %* HKEY_CLASS_ROOT\txtfile\shell\open\command @="\%1\" %* HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command @="\%1\" %* HKEY_LOCAL_MACHINE\Software\Classes\batfile\shell\open\command @="\%1\" %* HKEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command @="\%1\" %* HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command @="\%1\" %* 從註冊表路徑我可隱約得出,這些都是經常被執行的可執行文件的鍵值。往往一些木馬可以改變這些鍵值達到加載目的。如果我們把"\%1\" %* 改成xx.exe"\%1\" %* 則xx.exe就在每次執行類型文件(具體看哪一類型文件)時執行。 2)屏幕保護啟動 windows的屏幕保護是一個.scr文件,這是個PE文件,如果把.scr改為.exe該程序仍然可以正常啟動。類似的.exe文件更名為.scr也是被運行的,所以只要替換屏保文件,就能達到啟動目的。 |
| 用戶 評論 |
|
還沒有評論 |
