一、“啟動(dòng)”項(xiàng)目 我們知道,windows中有自帶的啟動(dòng)文件夾,它是最常見(jiàn)的啟動(dòng)項(xiàng)目,但很多人卻很少注意仔細(xì)檢查它。
具體的位置是“開(kāi)始”菜單中的“啟動(dòng)”選項(xiàng): 在硬盤(pán)上的位置是:C:Documents and SettingsAdministrator「開(kāi)始」菜單程序啟動(dòng); 在注冊(cè)表中的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun; 現(xiàn)在你可以打開(kāi)看看里面有沒(méi)有什么不明的程序存在。 二、msconfig msconfig是Windows系統(tǒng)中的“系統(tǒng)配置實(shí)用程序”,它管的方面可夠?qū),包?system.ini.win.ini,啟動(dòng)項(xiàng)目等。同樣,里面也是自啟動(dòng)程序非常喜歡呆的地方! 1.system.ini 首先,在“運(yùn)行”對(duì)話(huà)框中輸入“msconfig”過(guò)來(lái)啟動(dòng)系統(tǒng)配置實(shí)用程序(下同),找到system.ini標(biāo)簽,里面的 “shell=……”就可以用來(lái)加載特殊的程序,如果你的shell=后面不是默認(rèn)的explorer.exe,或者說(shuō)后面還有一個(gè)程序的名字,那你可要小心了,請(qǐng)仔細(xì)檢查相應(yīng)的程序是否安全! 2.win.ini 如果我們想加載一個(gè)程序:hack.exe,那么可以在win。ini中用下面的語(yǔ)句來(lái)實(shí)現(xiàn): [windows] load=hack.exe run=hacke.exe 該怎么做,你應(yīng)該知道了吧! 3.“啟動(dòng)”項(xiàng)目 系統(tǒng)配置實(shí)用程序中的啟動(dòng)標(biāo)簽和我們上面講的"啟動(dòng)"文件夾并不是同一個(gè)東西,在系統(tǒng)配置實(shí)用程序中的這個(gè)啟動(dòng)項(xiàng)目是Windows系統(tǒng)啟動(dòng)項(xiàng)目的集合地,幾乎所有的啟動(dòng)項(xiàng)目部能在這里找到----當(dāng)然,經(jīng)過(guò)特殊編程處理的程序可以通過(guò)另外的方法不在這里顯示。 打開(kāi)“啟動(dòng)”標(biāo)簽,“啟動(dòng)項(xiàng)目”中羅列的是開(kāi)機(jī)啟動(dòng)程序的名稱(chēng),“命令”下是具體的程序附加命令,最后的"位置"就是該程序在注冊(cè)表中的相應(yīng)位置了,你可以對(duì)可疑的程序進(jìn)行詳細(xì)的路徑、命令檢查,一旦發(fā)現(xiàn)錯(cuò)誤,就可以用下方的"禁用"來(lái)禁止該程序開(kāi)機(jī)時(shí)候的加載。 一般來(lái)講,除系統(tǒng)基于硬件部分和內(nèi)核部分的系統(tǒng)軟件的啟動(dòng)項(xiàng)目外,其他的啟動(dòng)項(xiàng)目都是可以適當(dāng)更改的,包括:殺毒程序、特定防火墻程序、播放軟件、內(nèi)存管理軟件等。也就是說(shuō),啟動(dòng)項(xiàng)目中包含了所有我們可見(jiàn)的程序的列表,你完全可以通過(guò)它來(lái)管理你的啟動(dòng)程序! 三、注冊(cè)表中相應(yīng)的啟動(dòng)加載項(xiàng)目 注冊(cè)表的啟動(dòng)項(xiàng)目是病毒和木馬程序的最?lèi)?ài)!非常多的病毒相木馬的頑固性就是通過(guò)注冊(cè)表來(lái)實(shí)現(xiàn)的,所以平常的時(shí)候可以下載個(gè)注冊(cè)表監(jiān)視器來(lái)監(jiān)視注冊(cè)表的改動(dòng),特別是在安裝了新的軟件或者是運(yùn)行了新的程序的時(shí)候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的實(shí)質(zhì)是不是木馬的偽裝外殼或者是捆綁程序!必要的時(shí)候可以根據(jù)備份來(lái)恢復(fù)注冊(cè)表,這樣的注冊(cè)表程序網(wǎng)上很多,這里也就不再羅嗦了。 我們也可以通過(guò)手動(dòng)的方法來(lái)檢查注冊(cè)表中相應(yīng)的位置,雖然它們很多是和上文講的位置重復(fù),但是對(duì)網(wǎng)絡(luò)安全來(lái)講,小心是永遠(yuǎn)不嫌多的! 注意同安全、清潔的系統(tǒng)注冊(cè)表相應(yīng)鍵進(jìn)行比較,如果發(fā)現(xiàn)不一致的地方,一定要弄清楚它是什么東西!不要相信寫(xiě)在外面的 “system”、“windows”、“programfiles”等名稱(chēng),誰(shuí)都知道"欲蓋彌彰"的道理。如果經(jīng)過(guò)詳細(xì)的比較,可以確定它是不明程序的話(huà),不要手軟,馬上刪除! 四、wininit.ini 我們知道,Wiidows的安裝程序常常調(diào)用這個(gè)程序來(lái)實(shí)現(xiàn)安裝程序后的刪除工作,所以不要小看它,如果在它上面做手腳的話(huà),可以說(shuō)是非常隱蔽、非常完美的! 它在系統(tǒng)盤(pán)的Windows目錄下,用記事本打開(kāi)它 (有時(shí)候是wininit.hak文件)可以看到相應(yīng)的內(nèi)容,很明顯,我們可以在里面添加相應(yīng)的語(yǔ)句來(lái)達(dá)到修改系統(tǒng)時(shí)候程序或者是刪除程序的目的如果是文件關(guān)聯(lián)型的木馬,可以通過(guò)winint.ini來(lái)刪除它感染后的原始文件,從而達(dá)到真正隱藏自己的目的! 五、DOS下的戰(zhàn)斗 最后,我們說(shuō)說(shuō)DOS下的啟動(dòng)項(xiàng)目的加載,config.sys,autoexec.bat,*.bat等文件都可以用特定的編程方式來(lái)實(shí)現(xiàn)加載程序的目的,所以不要以為DOS就是個(gè)過(guò)時(shí)的東西,好的DOS下的編程往往能達(dá)到非常簡(jiǎn)單、非常實(shí)用的功能! |