電腦從啟動到進入操作系統最終啟動完成,有很多個過程,不管是正常程序,還是病毒程序,他們隻有在系統進入到最後桌面的狀況下,程序還保持在運行,才能發揮作用。
舉一個通俗的例子,看一場球賽,或者演唱會,不管你是為了看演出,還是要制造破壞,你需要最終進入到會場,那麼進入會場實際上會有很多個階段跟可能性,比如還在布置會場的階段僞裝為工作人員,比如僞裝成現場的安保人員,比如僞裝成演唱會的工作人員,比如購買假票,等等等等,不同的角色會在不同的時間混進會場,軟件或者程序,需要最終進入操作系統運行,也不例外!
下面告訴你怎麼個也不例外法:
這個問題離不開注冊表,注冊表你可以理解為操作系統的一個登記本,各種系統的設置,信息,軟件的設置,信息等,都會記錄在裡面,所以也就包括那些軟件需要在什麼階段運行起來這樣的事情。
打開注冊表編輯器的方法是按win R鍵,輸入regedit,或者點開始,運行,然後輸入regedit,這裡以win7為例進行說明。
打開後,是這樣的:
關于注冊表的科普,看這裡:
小白電腦技能升級必備,你不知道注冊表的那點事!
從最前面的介紹可以看出,注冊表的數據非常重要,不可以随便删除的,所以操作的時候要比較小心,否則可能導緻系統崩潰。
下面開始說說,都有哪些途徑,程序可以随機器啟動自動運行起來:
一、最常見的一個入口:Run鍵、RunOnce鍵
注意上面圖片的紅色箭頭指示的路徑,我的系統這一項為空,就是沒有程序通過這裡來啟動運行,如果右邊有數據,那麼對應數據的程序就會開機運行。
細心的你看到上圖中,下面挨着還有個RunOnce鍵,直譯的意思就是運行一次,沒錯,這個鍵下面的程序會開機運行一次,随後被删除,比如有時候安裝某個軟件要求重啟後繼續,可能重啟後就會自動運行某個程序,隻用運行一次,那麼就會往這個裡面寫入數據。
除了HKEY_CURRENT_USER這個下面有這兩個外,HKEY_LOCAL_MACHINE下面,也有Run跟RunOnce鍵。
那麼這個跟之前那個有啥區别呢?從名稱上,前者是CURRENT_USER、當前用戶,LOCAL_MACHINE、本地機器,顧名思義,前者是當前用戶登陸後會被執行,而後者本地機器是沒登陸之前就會被執行,這個就是類似前面參加演唱會,有一些是工作人員,有一些是憑票進入的人員。
二、Services鍵
這個其實等同于前面的兩個,不同的是,這裡是以服務出現的,它更加底層一些,我們通過開始, 運行,輸入services.msc看到的這些。
這些也會在注冊表中有記錄。
RunServices及RunServicesOnce之後啟動的程序,位于注冊表[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices]鍵。
RunServicesOnce鍵位于[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下,其中的程序會在系統加載時自動啟動執行一次。
這個主要是針對應用程序的,系統一級的不會出現在這裡,所以如果沒有應用程序使用這個,這兩個鍵值就沒有。
三、其他
除了上面兩處常見的自啟動項目外,下面這些也可以讓程序自動運行起來:
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load鍵值的程序;
[HKEY_CURRENT_USER\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、shell鍵值也會有自啟動的程序,而且其鍵值可以用逗号分隔,從而實現登錄的時候啟動多個程序。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
是不是覺得很恐怖,幹嘛留這麼多可能的入口,跟人類一樣呀,演唱會不是也有很多角色可以進入會場嘛!
四、系統層面的入口
還沒完,上面是注冊表層面的,系統層面還有一些入口:
比如,最常見的是下面這個地方:
你把軟件的快捷方式拖到這個啟動下面,這裡是進入系統之後,最後運行的一個地方,這裡的程序也會被運行,這裡就是針對最終用戶的。
除此之外,還有,你點開始,運行,輸入win.ini回車,或者system.ini回車,還有兩個配置文件,一個是windows的配置文件,一個是系統級别的配置文件,他們裡面也可以添加自啟動項。
Win.ini文件中,在[windows]段下的“Run=”和“LOAD=”語句後面就可以直接加可執行程序,隻要程序名稱及路徑寫在“=”後面即可。
“load=”後面的程序在自啟動後最小化運行,而“run=”後程序則會正常運行。
System.ini文件,找到[boot]段下“shell=”語句,該語句默認為“shell=Explorer.exe”,啟動的時候運行Windows外殼程序explorer.exe。
上面這些,除了正常程序外,病毒程序,惡意軟件,也都可以通過修改上面這些地方來實現自啟動,然後來幹壞事,是不是更加覺得恐怖。
最後的最後,還有一種方式可以自啟動,就是使用計劃任務:
通過“開始→程序→附件→系統工具→任務計劃”即可該界面,當然這個除了開機之外的其他計劃任務也是可以執行的。
反過來,你想幹掉這些自啟動的程序,也是檢查這些地方,可以手工去檢查,也可以通過工具軟件,360這些軟件的啟動優化就是自動化的去幹這些事情。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!