|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-02-10, 09:15 AM | #1 (permalink) |
榮譽會員
|
全面找出自啟動程序
全面找出自啟動程序
閒逛中看到的一篇文章,個人感覺還不錯,希望對大家有說明 ! 一、傳統的啟動——「啟動」資料夾 按下「開始→程序」,你會發現一個「啟動」表單,這就是最傳統的windows啟動位置,右 擊「啟動」表單選項「開啟」即可將其開啟,如所顯示,其中的程序和建立捷逕都會在系統啟 動時自動執行。最一般的啟動位置如下: 當前用戶:<c:\documents and settings\用戶名\「開始」表單\程序\啟動> 所有用戶:<c:\documents and settings\all users\「開始」表單\程序\啟動> 二、有名的啟動——註冊表啟動項 註冊表是啟動程序藏身之處最多的地方,主要有以下幾項: 1.run鍵 run鍵是病毒最青睞的自啟動之所,該鍵位置是[hkey_current_ user\software\microsoft\windows\currentversion\run]和[hkey_ local_machine\software\microsoft\windows\currentversion\run],其下的所有程式在每 次啟動登入時都會按順序自動執行。 還有一個不被注意的run鍵,位於註冊表[hkey_current_ user\software\microsoft\windows\currentversion\policies\explorer\run]和 [hkey_local_machine\software\microsoft\windows\currentversion\ policies\explorer\run],也要仔細檢視。 2.runonce鍵 runonce位於[hkey_current_user\software\microsoft\windows\ currentversion\runonce]和[hkey_local_machine\software\microsoft\ windows\currentversion\runonce]鍵,與run不同的是,runonce下的程序僅會被自動執行 一次。 3.runservicesonce鍵 runservicesonce鍵位於[hkey_current_user\software\microsoft\ windows\currentversion\runservicesonce]和[hkey_local_machine\ software\microsoft\windows\currentversion\runservicesonce]下,其中的程序會在系統 載入時自動啟動執行一次。 4.runservices鍵 runservices繼runservicesonce之後啟動的程序,位於註冊表 [hkey_current_user\software\microsoft\windows\currentversion\runservices]和 [hkey_local_machine\software\microsoft\windows\currentversion\ runservices]鍵。 5.runonceex鍵 該鍵是windows xp/2003特有的自啟動註冊表項,位於[hkey_ current_user\\software\microsoft\windows\currentversion\runonceex]和 [hkey_local_machine\software\microsoft\windows\currentversion\runonceex]。 6.load鍵 [hkey_current_user\software\microsoft\windowsnt\currentversion\windows]下的load 鍵值的程序也可以自啟動。 7.winlogon鍵 該鍵位於位於註冊表[hkey_current_user\software\ microsoft\windows nt\currentversion\winlogon]和[hkey_local_machine\ software\microsoft\windows nt\currentversion\winlogon],注意下面的notify、 userinit、shell鍵值也會有自啟動的程序,而且其鍵值可以用逗號分隔,從而實現登入的 時候啟動多個程序。 8.其他註冊表位置 還有一些其他鍵值,經常會有一些程序在這裡自動執行,如: [hkey_current_user\software\microsoft\windows\currentversion\policies\system\she ll] [hkey_local_machine\software\microsoft\windows\currentversion\shellserviceobject delayload] [hkey_current_user\software\policies\microsoft\windows\system\SCRIPTs] [hkey_local_machine\software\policies\microsoft\windows\system\SCRIPTs] 小提示: 註冊表的[hkey_local_machine]和[hkey_current_user]鍵的區別:前者對所有用戶有效, 後者只對當前用戶有效。 三、古老的啟動——自動批次處理文件 從dos時代過來的朋友肯定知道autoexec.bat(位於系統碟根目錄)這個自動批次處理文件, 它會在電腦啟動時自動執行,早期許多病毒就看中了它,使用deltree、format等危險指令 來破壞硬碟資料。如「c碟殺手」就是用一句「deltre e /y c:\*.*」指令,讓電腦一啟動 就自動移除c碟所有文件,害人無數。 小提示: ★在windows 98中,autoexec.bat還有一個哥們——winstart.bat文件,winstart.bat位於 windows資料夾,也會在啟動時自動執行。 ★在windows me/2000/xp中,上述兩個批次處理文件預設都不會被執行。 四、常用的啟動——系統組態文件 在windows的組態文件(包括win.ini、system.ini和wininit.ini文件)也會載入一些自動 執行的程序。 1.win.ini文件 使用「記事本」開啟win.ini文件,在[windows]段下的「run=」和「load=」語句後面就可 以直接加可執行程序,只要程式名稱稱及路徑寫在「=」後面即可。 小提示: 「load=」後面的程序在自啟動後最小化執行,而「run=」後程序則會正常執行。 2.system.ini文件 使用「記事本」開啟system.ini文件,找到[boot]段下「shell=」語句,該語句預設為「 shell=explorer.exe」,啟動的時候執行windows外殼程序explorer.exe。病毒可不客氣, 如「妖之吻」病毒乾脆把它改成「shell=c:\yzw.exe」,如果你強行移除「妖 之吻」病毒 程序yzw.exe,windows就會提示報告錯誤,讓你重裝windows,嚇人不?也有客氣一點的病毒, 如將該句變成「shell=explorer.exe 其他程式名稱」,看到這樣的情況,後面的其他程式名稱 一定是病毒程序如所顯示。 3.wininit.ini wininit.ini文件是很容易被許多電腦用戶忽視的系統組態文件,因為該檔案在windows啟動 時自動執後會被自動移除,這就是說該檔案中的指令只會自動執行一次。該組態文件主要由 軟體的安裝程序產生,對那些在windows圖形界面啟動後就不能 進行移除、更新和重新命名的 文件進行操作。若其被病毒寫上危險指令,那麼後果與「c碟殺手」無異。 小提示: ★如果不知道它們存放的位置,按f3鍵開啟「搜尋」對話視窗進行搜尋; ★按下「開始→執行」,輸入syseditEnter鍵,開啟「系統組態編輯程序」,如圖2所顯示,在這 裡也可以方便的對上述文件進行檢視與修改。 五、智能的啟動——開/關機/登入/註銷指令碼 在windows 2000/xp中,按下「開始→執行」,輸入gpedit.mscEnter鍵可以開啟「群組原則編輯 器」,在左側視窗展開「本機電腦原則→用戶組態→管理範本→系統→登入」,然後在右 視窗中雙按「在用戶登入時執行這些程序」,按下「顯示」按鈕,在「登入時執行的項目」 下就 顯示了自啟動的程序。 六、定時的啟動——排定的工作 在預設情況下,「排定的工作」程序隨windows一起啟動並在後台執行。如果把某個程序增加 到計劃工作資料夾,並將計劃工作設定為「系統啟動時」或「登入時」,這樣也可以實現程 序自啟動。通過「計劃工作」載入的程序一般會在工作管理欄系統工作列區裡有它們的圖示 。大 家也可以雙按「控制台」中的「計劃工作」圖示檢視其中的項目。 小提示: 「排定的工作」也是一個特殊的系統檔案夾,按下「開始→程序→附件→系統工具→排定的工作 」即可開啟該檔案夾,從而方便進行檢視和管理。 七、跟著別人的啟動——隨軟體開啟的程序 隨myie2啟動的程序,詳見本刊2004年第3期、4期《讓你受用終生的瀏覽器─myie2實用技巧 大放送》一文。 下篇 全方位作戰 徹底清查windows自啟動 一、從「系統資訊」檢視啟動程序 按下「開始→程序→附件→系統工具→系統資訊」,雙按「軟體環境」,按下「啟動程序」 ,在右邊視窗出現的程序就是所有自啟動程序,在「安裝載入源」或「位置」下顯出該程序是由 註冊表還是「啟動」資料夾啟動的。從這裡只能檢視自啟動程序,不能對自啟動程序進行禁 止自啟動等任何更改操作。 軟體性質: windows自身功能 推薦指數: ★★★★ 二、msconfig 在windows 98/me/xp/2003中,按下「開始→執行」,輸入msconfigEnter鍵即可開啟「系統配 置實用程序」視窗,按下「啟動」標籤,在列表項中顯示的就是從註冊表、「啟動」資料夾 和系統組態文件中自啟動的程序。程序前有對號的是允許自啟動的程序,沒有對號的則不會 自啟動。 如果想取消某個程序的自啟動,按下取消程序前的對勾即可。還可以在 autoexec.bat、system.ini和win.ini標籤裡面對它們進行編輯,取消其中的自啟動程序。 小提示: ★所有的修改都需要重新啟動才能生效。 ★windows 2000沒有msconfig程序,但是我們可以從windows 98或者xp拷貝一個到 system32目錄,同樣可以起作用。 軟體性質: 免費,微軟原裝 推薦指數: ★★★★ 三、startup.cpl 只需要將startup.cpl檔案拷貝到windows安裝目錄下的system32資料夾下面即可,按下「開 始→設定→控制台」開啟控制台,你會發現裡面多了一個startup項,雙按開啟它,在 開啟的對話視窗中,可以方便地對「啟動」資料夾和註冊 表中的啟動項目進行管理,如右擊 空白處新增一個啟動項,右擊已有的啟動項目可以對其進行編輯、移除、禁用和立刻執行等 操作。 軟體性質: 免費,綠色軟體 推薦指數: ★★★★★ 四、startupmonitor 雙按startupmonitor.msi執行安裝,安裝完成後,它就乖乖的在後台執行,只佔據100多kb 的記憶體,什麼時候才顯示出它的本事呢?當你安裝了一個軟體的時候,如果它想自己偷偷自 啟動,嘿嘿,就必須通過startupmonitor的這一關 ,如所顯示,它管得非常寬,無論是什麼 程序,它都不放過!漁歌強烈推薦。 軟體性質: 免費,小巧實用 推薦指數: ★★★★★ 五、startstop 軟體安裝後它會將自己加到註冊表的runonce自啟動,啟動後會自動縮小到工作列區一個小圖 標,雙按即可開啟startstop主界面,在這裡列出了本地機啟動程序,右擊某個程序可以選項 總是啟動、從不啟動還是每次詢問是否啟動,如所顯示,它有特色的一個地方 是按下表單「 options→startup delay」,可以設定啟動時延遲多少時間啟動程序。 軟體性質: 免費, 有特色 推薦指數: ★★★★ 六、autoruns 下載autoruns.zip後解壓縮直接執行裡面的autoruns.exe即可,由於它不會在啟動時載入, 顯得更綠色。雙按autoruns.exe開啟程序界面,它不僅僅列出的是非常全的啟動項,而且詳 細地列出了啟動程序的公司和路徑,如果還不滿意 ,右擊某個啟動項目,選項內容,可以 檢視該啟動項的文件內容。它還有兩個特色功能,一個是右擊任何一個啟動項,選項jump to就會立刻跳轉到具體的位置,如跳轉到註冊表的具體鍵值、開啟啟動檔案夾、開啟ini文 件等,非常方便!還有一個功能是按下view表單,可以切換是否顯示所有的啟動位置、是否 顯示啟動的服務、是否只顯示非microsoft公司的項目,這對於檢查啟動 項目和過濾項目非 常有用。 軟體性質: 免費,綠色軟體 推薦指數: ★★★★★ 七、startup organizer startup organizer的組織和管理自啟動項功能很強大,它在控制啟動項目方面做的也比較 細,如為某個啟動設定聲音提示,還能設定在windows啟動時按某個鍵來控制某些程序啟動 與否,還可以制作備份自啟動組態文件以便應急恢復、比較啟動程序的變化、恢復第一次 執行 時的預設組態,操作也比較簡單,遺憾之處就是不是免費的。 軟體性質: 共享軟體,30天免費試用 |
__________________ |
|
送花文章: 3,
|
2006-03-13, 10:10 PM | #4 (permalink) |
榮譽會員
|
WindowsXP系統中如何取消D碟自動播放
筆者最近遇這樣的一件事情,在Windows XP操作系統中雙按打不開D碟,出現一個對話視窗,提求Windows系統無法找到Pagefile.pif ,並且右鍵表單中多了一個「自動播放」功能。這個東西雖然不至於對系統造成危害,但是使用起來也很麻煩。必須給取消。 未找到程序 自動播放 試了很多種辦法,筆者終於找到解決這個故障的方法。 在「執行」中輸入「regedit」開啟註冊表編輯器,在註冊表中使用「尋找」功能尋找「自動播放」…… 找出了「autorun=自動播放」、「open=Pagefile.pif」、STARTUPIMAGEDIRECTORY=D\自動播放(圖3)、「icon=Fwrite.ico」等鍵值,筆者一一移除了。在D碟根目錄下發現一個「autorun.inf」文件。開啟一看裡面的內容正是我要移除的內容!筆者一起給移除了。好了,重啟電腦,大功告成,所有的問題都解決了。 圖3 註冊編輯器 小知識:什麼是Autorun.inf Autorun.inf一個文本形式的組態文件,我們可以用文本編輯軟體進行編輯,它只能位於驅動器的根目錄下。這個文件包含了需要自動執行的指令,如改變的驅動器圖示、執行的程式文件、可選快捷表單等內容。 事實上,大多數的用戶並不需要AutoRun.inf文件來執行程序,因此,我們完全可以將 硬碟 的AutoRun功能關閉,這樣即使在 硬碟 根目錄下有AutoRun.inf這個文件,Windows也不會去執行其中指定的程序,從而黑客可能利用AutoRun.inf文件達到入侵的目的。 怎樣禁止光碟AutoRun功能? 其實很簡單,就是將DRIVE_CDROM設為1,這樣「No Drive TypeAutoRun」鍵值中的第一個值就變成了10110101,也就是16進制的B5。將第一個值改為B5後關閉註冊表編輯器,重啟電腦後就會關閉CDROM的Autorun功能。如果僅想禁止軟體光碟的AutoRun功能,但又保留對CD音瀕碟的自動播放能力,這時只需將「No Drive Type AutoRun」的鍵值改為:BD,00,00,00即可。如果想要恢復 硬碟 或 光碟 的AutoRun功能,進行反方向操作即可。 注:造成上面這種問題還有可能是病毒造成的,所以筆者建議大家先在「安全模式」下對系統進行一個全面的病毒掃瞄後,再用上面的方法進行故障解除。 |
送花文章: 3,
|