论坛: 菜鸟乐园 标题: 菜鸟看了不要再发贴问这样的问题了! 复制本贴地址    
作者: stcallme [stcallme]    论坛用户   登录
Windows的自启动程序
     许多应用软件随Windows启动时自动运行,如杀毒软件的实时监控程序,这就是所谓的自启动程序。有些程序为了自身运行的需要而在Windows装载时自行启动,或者为了登录Windows后加快程序的启动速度而加载了自启动程序,如OFFICE启动程序,由于它的自启动,使得我们在启动OFFICE时可以节省时间,这样的自启动程序对用户使是有益的。然而,另外一些自启动程序往往不是我们所需要的,甚至是我们深恶痛绝的,如深藏不露地在后台偷偷监视用户一举一动的跟踪软件。当我们拿到一张带有大量软件的光盘时,常常不管三七二十一,见到SETUP,就用鼠标“哒哒”两下,然后又觉得不值得一用,于是把它给删除了,殊不知,安装容易删除难,尤其是那些不规范的卸载程序根本无法将自家的东东删除的一干二净,自启动部分常常是漏网之鱼,此后,每当开机时,总有“找不到XX程序”的提示信息蹦出来烦你。非用户所需的自启动程序的存在,一方面占用系统资源,另一方面给信息安全造成威胁(指窃密软件)。那么,如何找到不受欢迎的自启动程序并让其“下课”呢?
  先让我们看看怎样才能使程序自行启动。一般来说,某种程序欲随Windows装载时自启动,必须将其自身或其快捷方式加载到在如下几处之一:
  1、AUTOEXEC.BAT及CONFIG.SYS文件,实模式的驱动程序常常出现在这里(Windows ME并不理会AUTOEXEC.BAT里的自启动程序)。
  2、WIN.INI文件,即使是Windows ME也还存在WIN.INI这样的老古董,文件中的[Winodws]部分RUN=此行可加载程序。
  3、Startup文件夹,只要不担心被用户发现的自启动程序,往往都安装在此文件夹里。用户只须进入C:\Windows\start menu\programs\startup(启动)目录下将其删除即可。
  4、计划任务文件夹,"计划任务"程序是将程序安排为定期运行的工具。"计划任务"程序随 Windows 一起启动,并在后台运行,如果把某一程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,就可以实现自启动功能。
  5、registry注册表,那些跟踪、监视欲非法获取用户包括密码、帐号在内的私有信息的软件总是要把自启动程序隐藏在不易别被人察觉的深处,而registry是其最好的藏身之处,一般的菜鸟因惧怕系统瘫痪而不敢随意到registry里瞎逛。在registry的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices及HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Run主键下的程序就是自启动程序。
    此外,Winstart.bat文件也可实现自启动,不过现在已很少见。
    你的机器里究竟有多少自启动程序在无声无息地运行着,并非是在任务栏、系统通告区、屏幕界面上都能发现的,那些非法的自启动程序绝不会痛痛快快地在你面前亮相,即使你按“Ctrl+Alt+Del” 键也未必找到蛛丝马迹。
    系统信息中的MSTASK.EXE命令是计划任务的文件名,它本身也是通过注册表自启动的,因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把MSTASK.EXE命令从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。
  其实,要让这些自启动程序“下课”也非常简单,使用“系统信息”的“系统配置实用程序”,哪怕菜鸟也能轻松搞定。方法为:单击“系统信息”的“工具” →系统配置实用程序→在 “启动”选项里找到你不需要的自启动程序,将前面的“√”清除即可。利用“系统配置实用程序”让自启动程序“下课”,操作时无需备份,一旦反悔,只要将清除的“√”恢复即算摆平,特别适合菜鸟操作。
  当然,这种方法实际上是禁止了自启动程序的运行,要将期彻底删除,还必须根据“程序”和“位置”标题中所提供的信息将自启动装载源和程序文件本身删除。
  使用Winodws自带的“系统信息”工具,可以找出从Startup文件夹、计划任务程序、注册表中自启动的程序。通过单击[开始]→[程序]→[附件]→[系统工具]→[系统信息],进入系统信息界面后,再单击“软件环境”前的“+”号,单击“启动程序”,在右边窗口出现的程序就是自启动程序。在右边窗口中,“程序”标题下所列的名称为自启动的程序名,“命令”标题下面是自启动程序所执行的文件及其所在的路径,位置标题下面说明自启动程序是从何处实现自启动的,如Scanregistry程序,运行的是c:\windows\scanregw.exe文件,它是在注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run主键下面实现自启动的。如果位置标题没有出现,可单击“查看”菜单下的“高级”子菜单。如果标题下面的内容显示不完整,可双击标题栏间的分隔线。

(希望菜鸟看了不要再发贴问这样相关的问题了!比如启动速度变慢、一开机就死机、是否怀疑在启动过程中加载了病毒等等这样的问题,实在没有时间回复!自己动手对照找找原因吧!也能使自己提高动手的能力。)



[此贴被 雏鹰(stcallme) 在 09月30日21时03分 编辑过]

地主 发表时间: 05-09-30 20:58

回复: liushanwe [liushanwe]   论坛用户   登录
大哥``我眼花啦`不过顶你`我现在得带眼镜了``

B1层 发表时间: 05-10-02 07:19

回复: stcallme [stcallme]   论坛用户   登录
自己来看一下

B2层 发表时间: 05-10-08 10:56

回复: lky2005524 [lky2005524]   论坛用户   登录
我看了受益非浅啊,支持你.建议版主加精华.

B3层 发表时间: 05-10-11 22:04

回复: tangnade [tangnade]   论坛用户   登录
是好东西,很基础的,
建议照着自己的机器找找看,一看就明白了。

B4层 发表时间: 05-10-11 22:39

回复: cwenqiang [cwenqiang]   论坛用户   登录
我的机子都改不了

B5层 发表时间: 05-10-12 07:20

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号