標籤: 暫無標籤

開機啟動項就是開機的時候系統會在前台或者後台運行的程序。一般我們主要說的是windows系統電腦的開機啟動項。

1 開機啟動項 -基本簡介

  當Windows(操作系統)完成登錄過程,進程表中出現了很多的進程!Windows在啟動的時候,自動載入了很多程序。

  許多程序的自啟動,給我們帶來了很多方便,這是不爭的事實,但不是每個自啟動的程序對我們都有用;更甚者,也許有病毒或木馬在自啟動行列!

  其實Windows2000/XP中的自啟動文件,除了從以前系統中遺留下來的Autoexec.bat文件中載入外,按照兩個文件夾和9個核心註冊表子鍵來自動載入程序的。

2 開機啟動項 -相關分解

  1)「啟動」文件夾──最常見的自啟動程序文件夾。

  它位於系統分區的「documents and Settings-->User-->〔開始〕菜單-->程序」目錄下。這時的User指的是登錄的用戶名。

  2)「All Users」中的自啟動程序文件夾──另一個常見的自啟動程序文件夾。

  它位於系統分區的「documents and Settings-->All User-->〔開始〕菜單-->程序」目錄下。前面提到的「啟動」文件夾運行的是登錄用戶的自啟動程序,而「All Users」中啟動的程序是在所有用戶下都有效(不論你用什麼用戶登錄)。

  3)「Load」鍵值── 一個埋藏得較深的註冊表鍵值。

  位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主鍵下。

  4)「Userinit」鍵值──用戶相關

  它則位於〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主鍵下,也是用於系統啟動時載入程序的。一般情況下,其默認值為「userinit.exe」,由於該子鍵的值中可使用逗號分隔開多個程序,因此,在鍵值的數值中可加入其它程序。

  5)「Explorer\Run」鍵值──與「load」和「Userinit」兩個鍵值不同的是,「Explorer\Run」同時位於〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個根鍵中。

  它在兩個中的位置分別為(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。

  6)「RunServicesOnce」子鍵──它在用戶登錄前及其它註冊表自啟動程序載入前面載入。

  這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。

  7)「RunServices」子鍵──它也是在用戶登錄前及其它註冊表自啟動程序載入前面載入。

  這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。

  8)「RunOnce\Setup」子鍵──其默認值是在用戶登錄后載入的程序。

  這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。

  9)「RunOnce」子鍵──許多自啟動程序要通過RunOnce子鍵來完成第一次載入。

  這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。位於〔HKEY_CURRENT_USER〕根鍵下的RunOnce子鍵在用戶登錄扣及其它註冊表的Run鍵值載入程序前載入相關程序,而位於〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在操作系統處理完其它註冊表Run子鍵及自啟動文件夾內的程序后再載入的。在Windows XP中還多出一個〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子鍵,其道理相同。

  10)「Run」子鍵──目前最常見的自啟動程序用於載入的地方。

  這個鍵同時位於〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。

  其中位於〔HKEY_CURRENT_USER〕根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動,但兩個鍵值都是在「啟動」文件夾之前載入。

  11)再者就是Windows中載入的服務了,它的級別較高,用於最先載入。

  其位於〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下,看到了嗎,你所有的系統服務載入程序都在這裡了!

  12)Windows Shell──系統介面

  它位於〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字元串類型鍵值中,基默認值為Explorer.exe,當然可能木馬程序會在此加入自身並以木馬參數的形式調用資源管理器,以達到欺騙用戶的目的。

  13)BootExecute──屬於啟動執行的一個項目

  可以通過它來實現啟動Natvice程序,Native程序在驅動程序和系統核心載入后將被載入,此時會話管理器(smss.exe)進行windowsNT用戶模式並開始按順序啟動native程序

  它位於註冊表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面,有一個名為BootExecute的多字元串值鍵,它的默認值是"autocheck autochk *",用於系統啟動時的某些自動檢查。這個啟動項目里的程序是在系統圖形界面完成前就被執行的,所以具有很高的優先順序。

  14)策略組載入程序──打開Gpedit.msc,展開「用戶配置——管理模板——系統——登錄」,就可以看到「在用戶登錄時運行這些程序」的項目,你可以在裡面添加。

  在註冊表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相對應的鍵值。

  備註:

  Home版的XP中沒有提供gpedit工具,可到網上搜索並下載補丁。

  快速進入啟動項

  快速進入啟動項的方法是在運行中輸入 msconfig ,即可看到窗口下的啟動項運行項目。

3 開機啟動項 -相關信息

  從系統的啟動項可以看到什麼

  俗話說「萬事開頭難」, 俗話也說「良好的開頭是成功的一半」,那麼XP系統「開頭」也就是「啟動」能告訴我們什麼難。

1、msconfig

  在"開始「-「運行」對話框中輸入「msconfig」就打開「系統配置實用程序」。

  msconfig是Windows系統中的「系統配置實用程序」,它可以自動執行診斷xp系統的配置問題時所用的常規解決步驟。它管的方面可夠寬,包括:一般(常規)、system.ini、win.ini、BOOT.INI、服務、啟動。它是xp系統底層最先啟動的程序,可見它的重要性了。這裡面可是自啟動程序非常喜歡呆的地方。

  系統配置實用程序中的「啟動」選項和我們在下面講的"啟動"文件夾並不是同一個東西,在系統配置實用程序中的這個啟動項目是Windows系統啟動項目的集合地,幾乎所有的啟動項目部能在這裡找到----當然,經過特殊編程處理的程序可以通過另外的方法不在這裡顯示。

  打開「啟動」標籤,「啟動項目」中羅列的是開機啟動程序的名稱,「命令」下是具體的程序附加命令,最後的"位置"就是該程序在註冊表中的相應位置了,你可以對可疑的程序進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的"禁用"來禁止該程序開機時候的載入。

  一般來講所有我們可見的程序的列表,你完全可以通過它來管理你的啟動程序,換句話,這裡可以全部是空的。

2、註冊表中相應的啟動載入項目

  註冊表的啟動項目是病毒和木馬程序的最愛,非常多的病毒木馬的頑固性就是通過註冊表來實現的,特別是在安裝了新的軟體程序,一定不要被程序漂亮的外表迷惑,一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程序,必要的時候可以根據備份來恢復註冊表。

  我們也可以通過手動的方法來檢查註冊表中相應的位置,注意同安全、清潔的系統註冊表相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外面的 「system」、

  「windows」、「programfiles」等名稱,尤其是如果你仔細觀察的話,有些字元是不一樣的,比如0和o的區別,1和l的區別等,如果經過詳細的比較,可以確定它是不明程序的話,不要手軟,馬上刪除。

  主要的啟動載入鍵值有

  「Explorer\Run」鍵值──在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。

  「RunServicesOnce」子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。

  「RunServices」子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。

  「RunOnce」子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。

  「Run」子鍵──在

  〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下。

  資源管理器插件在

  (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components)

  目前幾乎被所有殺毒軟體忽略的地方,病毒只需註冊一個 GUID即可在此創建子鍵

  如{04800D2E-FEC3-9A23-BA95-EC1416DBFCF0},通常為 隨機生成,隱蔽性極高

  在{04800D2E-FEC3-9A23-BA95-EC1416DBFCF0}下會出現字元串項目StubPath等於病毒文件路徑。

3、「啟動」項目

  在windows的「開始」中有自帶的啟動文件夾,它是最常見的啟動項目。如果在安裝程序時設置成開機既啟動,這個程序就裝入到這個文件夾中,系統啟動就會自動地載入相應程序。

  具體的位置是「開始」菜單中的「所有程序」-「啟動」選項。

  在硬碟上的位置是:C:\Documents and Settings\你的用戶名\「開始」菜單\程序\啟動。

  在註冊表中的位置是:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。

  這裡最好為空,而且用戶要不時地檢查一下這裡有什麼不明的東西。

4、boot.ini

  當用戶的電腦有ghost備份、dos工具或者是雙系統時,在開機后就出現個讓用戶選擇,如果不選擇就以默認的啟動的窗口,(屏幕底部是F8高級啟動),boot.ini就控制這個地方。

  裡邊的內容一般是

  timeout=x (x一般在1-5就可以了)

  default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

  [operating systems]

  multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect…………

  BOOT.INI是一個非常重要的系統文件,是系統啟動時,需要查詢的一個系統文件,它告訴啟動程序本計算機有幾個操作系統、各系統的位置在哪裡等信息。沒有它或者誤刪了,系統還能進行引導,但是一個是只能引導默認的系統,不在有你的備份系統的引導選擇,在一個是每次開機重啟時都顯示兩行字:「boot.ini文件是非法的,現在正從C:/Windows/下啟動」,但是速度明顯慢了。所以我們平時除了要對其作必要的備份之外,還要編輯它的方法。特別是在安裝多系統時,如果沒有按照從低到高(Windows 98、Windows 2000、Windows XP、Windows 2003)的安裝順序,該文件往往會被損壞。如果我們掌握修改和編輯它的辦法,就不會到時候無計可施了。

5、非法關機以後的「啟動」

  相信很多人都碰到過電腦開機后出現

  「Checking file system on E:

  The type of the file system is NTFS……然後是一些數字的變化,最後一行是類似的「??(問號代表數字) allocation units available on disk」,然後就進入系統桌面了」的情況吧。

  這就是非正常關機,如斷電、按熱啟動鍵啟動、或強制按電源鍵關機在開機造成的。

  由於關機的時候E盤裡面的程序還在運行,每次開機硬碟都會自動自檢,消除錯誤信息等,而如果非正常關機這些程序沒有正常退出,那麼下次在開機電腦就要從新執行自檢,以便消除消除錯誤信息,正常的電腦有一次就好了,下次啟動就不會出現這種情況了。

  如果每次開機都出現這樣的情況有2個可能:一個是硬碟出現壞道了,硬碟在工作時突然關閉電源,可能會導致磁頭與碟片猛烈磨擦而損壞硬碟,還會使磁頭不能正確複位而造成硬碟的划傷,從而在硬碟留下了壞道,但是電腦還能勉強使用,出現這種情況一般只能更換硬碟了。一個是硬碟沒有問題,但是留下了記憶的信息,結果每次都自檢,消除的辦法就是:開始-運行中輸入chkdsk E: /x/f 回車,然後就出現個自動運行的dos窗口,等他運行完畢就沒有問題了。

  chkdsk E: /x /f的意思是Windows發現在E盤裡文件系統有問題 ,運行CHKDSK <使用選項/x /f> 來更正這些問題 。

  對於FAT文件系統,可以使用win自己的磁碟修復來操作,方法是:右擊你要操作的盤符,屬性-工具,選擇查錯,把自動修復錯誤的勾打上,點擊開始就可以了。

6、其他情況的「啟動」

  當用戶打開電源開關后從「啟動」到進入桌面以及可以登錄網路后,如果花費的時間很長,而且打開、關閉、拖動一個程序文件的時候顯得拖拖拉拉的,有時候還有莫名其妙的從「啟動」,這樣的「啟動」往往說明:(1)載入的啟動項目過多,(2)電腦中毒了,(3)系統盤的空間不足了,(4)機箱該打掃一下了,(5)有關的硬體性能欠佳了……

4 開機啟動項 -常用啟動

  常用的啟動——系統配置文件

  在Windows的配置文件(包括Win.ini、System.ini和Wininit.ini文件)也會載入一些自動運行的程序。

1、Win.ini文件

  使用「記事本」打開Win.ini文件,在&#91;windows&#93;段下的「Run=」和「LOAD=」語句後面就可以直接加可執行程序,只要程序名稱及路徑寫在「=」後面即可。

  小提示

  「load=」後面的程序在自啟動后最小化運行,而「run=」后程序則會正常運行。

2、System.ini文件

  使用「記事本」打開System.ini文件,找到&#91;boot&#93;段下「shell=」語句,該語句默認為「shell=Explorer.exe」,啟動的時候運行Windows外殼程序explorer.exe。病毒可不客氣,如「妖之吻」病毒乾脆把它改成「shell=c:\yzw.exe」,如果你強行刪除「妖之吻」病毒程序yzw.exe,Windows就會提示報錯,讓你重裝Windows,也有客氣一點的病毒,如將該句變成「shell=Explorer.exe其他程序名」,看到這樣的情況,後面的其他程序名一定是病毒程序如所示。

3、wininit.ini

  wininit.ini文件是很容易被許多電腦用戶忽視的系統配置文件,因為該文件在Windows啟動時自動執後會被自動刪除,這就是說該文件中的命令只會自動執行一次。該配置文件主要由軟體的安裝程序生成,對那些在Windows圖形界面啟動后就不能進行刪除、更新和重命名的文件進行操作。若其被病毒寫上危險命令,那麼後果與「C盤殺手」無異。

  小提示

  如果不知道它們存放的位置,按F3鍵打開「搜索」對話框進行搜索;

  單擊「開始→運行」,輸入sysedit回車,打開「系統配置編輯程序」,如圖2所示,在這裡也可以方便的對上述文件進行查看與修改。

5 開機啟動項 -常見項目

  常見的啟動項-系統ctfmon用戶輸入技術支持

  internat.exe輸入法指示器程序

  LoadPowerProfileWin98/Me電源管理

  PCHealthWinMe系統自愈功能

  ScanRegistry啟動時檢查並備份註冊表

  SchedulingAgent系統計劃任務程序

  SynchronizationManagerWin2000同步管理

  SystemTray系統托盤,管理內存駐留程序

  TaskbarDisplayControls屏幕-屬性-設置-高級-在任務欄中顯示圖標

  TaskMonitor任務檢測程序,記錄使用軟體情況

  *StateMgrWinMe系統還原常見的啟動項-軟體CnsMin3721網站的中文域名

  KingsoftAntiVirus金山毒霸的啟動項

  McAfeeVirusScanService殺毒軟體McAfeeVirusScanVPTRAY諾頓殺毒軟體的啟動項ccapp也是諾頓的東西

  msmsgsWindowsMessenger

  NDetectICQ的啟動程序

  popproxy瑞星防火牆

  RavMon瑞星殺毒軟體

  RavTimer瑞星殺毒軟體

  RealTrayRealplay的啟動項

  TkBellExeRealOnePlayer的啟動項補充:IMSCMIG.EXE微軟IME輸入法的組件imjpmig,TINTSETP,TINTSETP這三項。這三項是日文,韓文等輸入法的啟動項目,一般我們都不會使用日文,韓文這些輸入法,所以可以禁止這三項隨機啟動

相關評論

同義詞:暫無同義詞