有時候人們往往會為了一個程序的啟動而頭痛，因為一些用戶不知道那些文件是如何啟動的。所以經常會有沒用的應用程序掛在系統上占用資源。有時候也會有人因為不知道如何啟動某個文件而頭痛。

Windows的自啟動有許多方式。除了一些常見的啟動方式之外，還有一些非常隱蔽的可用來啟動文件的方式。Windows的自啟動是Windows系統的一部分，對于普通用戶來說，了解這些信息也是非常必要的。

文章全部以系統默認的狀態為準。其中English代表英文操作系統，Chinese代表中文操作系統。文中如沒加說明即為中文Windows 98操作系統。

一、Windows的自啟動目錄

1．默認路徑

C:\windows\start menu\programs\startup（English）
C:\windows\start
 menu\programs\啟動（Chinese）

這是最基本、最常用的Windows啟動方式，主要用于啟動一些應用軟件的自啟動項目，如Office的快捷菜單。一般用戶希望啟動時所要啟動的文件也可以通過這里啟動，只需把所需文件或其快捷方式放入文件夾中即可。

2．對應的注冊表位置

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Shell Folders]
Startup="%Directory%"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
User Shell Folders]
Startup="%Directory%"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
User Shell Folders] 
"Common Startup"="%Directory%"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
Shell Folders]
"Common Startup"="%Directory%"

其中“%Directory%”為啟動文件夾位置。

在開始菜單的“啟動”文件夾是可更改的，如果用戶更改了啟動文件夾，則以上注冊表的鍵值均會改變為相應的名稱。

值得注意的是：開始菜單的“啟動”文件夾中的內容雖然在默認狀態下可以被用戶查看。但通過改動還是可以達到相當隱蔽地啟動的目的。

首先，“啟動”文件夾中的快捷方式或其他文件的屬性可以改變為“隱藏”。這樣可以達到系統不啟動被隱藏的文件，等到需要啟動時又可以通過更改回文件屬性而恢復啟動的作用。

其次，“啟動”文件夾只是一個普通的文件夾，由于系統監視了這個文件夾，所以變得有些特殊，但文件夾有的一些功能，這個文件夾也是有的。比如“啟動”文件夾的名稱是可以更改的，并且“啟動”文件夾也可以設置屬性。如果把屬性設置為“隱藏”，則在系統中的“開始→程序”菜單中是看不到“啟動”文件夾的（即使在“文件夾選項”中已經設定了“顯示所有文件”）。而系統還會啟動這個被隱藏的文件夾中的非隱藏文件。

敏感的人們也許已經發現問題。舉一個例子：

如果想啟動A木馬的server端服務器，我們可以把原來的“啟動”菜單的名稱更改為“StartUp”（這里是隨便改的，注冊表相應的鍵值也會自動更改。）之后再創建一個名為“啟動”的文件夾，把“StartUp”菜單中的文件全部復制（這里用復制，可以騙過用戶的檢查）到“啟動”菜單中，然后把A木馬的server程序放入“StartUp”文件夾中，最后把“StartUp”文件夾隱藏。大功告成！

從外表看來，用戶的“開始→啟動”目錄還在，而且要啟動的文件也在。但系統此時啟動的文件不是名為“啟動”的文件夾中的文件，而是名為“StartUp”的文件夾中的文件。由于“StartUp”文件夾被隱藏，從“開始→程序”中是無法看到真正的啟動菜單“StartUp”，所以達到隱蔽啟動的目的！

這個啟動方式雖然隱蔽，但通過msconfig命令，在打開的“系統配置”對話框中的“啟動”標簽中查看得到。

二、系統配置文件啟動

由于系統的配置文件對于大多數的用戶來說都是相當陌生的，這就造成了這些啟動方法相對來說都是相當隱蔽的，所以這里提到的一些方法常常會被用于做一些破壞性的操作，請讀者注意。

1．Win.ini啟動

啟動位置（file.exe為要啟動的文件名稱）：

[windows]
load=file.exe
run=file.exe

2．System.ini啟動

啟動位置（file.exe為要啟動的文件名稱）：

默認為：

[boot]
Shell=Explorer.exe

可啟動文件后為：

[boot]
Shell=Explorer.exe file.exe

上述的兩種啟動方式往往會被木馬或一些惡作劇程序（如，妖之吻）利用而導致系統的不正常。由于一般用戶很少會關心這兩個文件，甚至有的用戶根本不知道這些文件是做什么用的，所以隱蔽性很好。但用戶可以使用msconfig命令，在打開的“系統配置”對話框中的“啟動”標簽中查看得到。

注意：與Win.ini文件不同的是，System.ini的啟動只能啟動一個指定文件，不要把Shell=Explorer.exe file.exe換為Shell=file.exe，這樣會使Windows癱瘓！

3．Wininit.ini啟動

Wininit.ini文件也許很多人不知道，一般的操作中用戶也很少能直接和這個文件接觸。但如果你編寫過卸載程序的話，也許你會知道這個文件。

Wininit即為Windows Setup Initialization Utility。翻譯成中文就是Windows安裝初始化工具。這么說也許不明白，但如果看到如下提示信息：

Please wait while Setup updates your configuration files. 
This may take a few minutes…

大家也許就都知道了！這個就是Wininit.ini在起作用！

由于在Windows下，許多的可執行文件和驅動文件是被執行到內存中都是受到系統保護的。所以在Windows的正常狀態下更改這些文件就成了問題，因此出現了Wininit.ini這個文件來幫助系統做這件事情。它會在系統裝載Windows之前讓系統執行一些命令，包括復制、刪除、重命名等，以完成更新文件的目的。但在一般情況下我們在C:\Windows目錄下是找不到這個文件的，原因就是Wininit.ini在每次被系統執行完它其中的命令時就會被系統自動刪除，直到再次出現新的Wininit.ini文件之后再被刪除。其文件格式為：

[rename]
file1=file2

上面的語句行中，file1=file2的意思是把file2文件復制為文件名為file1的文件，相當于覆蓋file1文件，之后再把原來的file2文件刪除。

這樣啟動時，Windows就實現了用file2更新file1的目的；如果file1不存在，實際結果是將file2復制并改名為file1；如果要刪除文件，則可使用如下命令：

[rename] 
nul=file2

這也就是說把file2變為空，即刪除的意思。

以上文件名都必須包含完整路徑。

注意：由于Wininit.ini處理的文件是在Windows啟動以前處理的，所以不支持長文件名；以上的文件復制、刪除、重命名等均是不提示用戶的情況下執行的。有些病毒也會利用這個文件對系統進行破壞，所以用戶如果發現系統無故出現：

Please wait while Setup updates your configuration files. 
This may take a few minutes…

那么也許系統就有問題了。

4．Winstart.bat啟動

這是一個系統自啟動的批處理文件，主要作用是處理一些需要復制、刪除的任務。比如有些軟件會在安裝或卸載完之后要求重新啟動，就可以利用這個批處理復制和刪除一些文件來達到完成任務的目的。如：

“@if exist C:\Windows\Temp\Proc.bat call C:\Windows\Temp\Proc.bat”

這里是執行Proc.bat文件的命令；

“call filename.exe > nul”

這里是去除任何在屏幕上的輸出。

5．Autoexec.bat啟動

Autoexec.bat應該是用戶再熟悉不過的系統文件了。每次重新啟動系統時在DOS下啟動。惡意的程序往往會利用這個文件做一些輔助的措施。

不過，在Autoexec.bat文件中會包含有惡意代碼。如format c: /y等；由于BAT惡意程序的存在，這個機會大大地增加了。比如最近很流行的SirCam蠕蟲也就是利用了Autoexec.bat文件。

三、注冊表啟動

1.常規啟動

在下面的注冊表項中，\%path%\表示任意路徑，file.exe表示需要運行的程序。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Anything"="\%path%\file.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Anything"="\%path%\file.exe" 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
?"Anything"="\%path%\file.exe" 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
?"Anything"="\%path%\file.exe" 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
????"Whatever"="c:\runfolder\program.exe" 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
????"Whatever"="c:\runfolder\program.exe"

注意：

（1）解除這里相應的自啟動項只需刪除該鍵值即可，但注意不要刪除如SystemTray、ScanRegistry等這樣的系統鍵值。

（2）如果只想不啟動而保留鍵值，只需在該鍵值加入rem即可。如：“rem C:\Windows\a.exe”。

（3）在注冊表中的自啟動項中沒有這兩項：

[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices]、
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

關于：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

有特殊的語法。例如，運行Notepad.exe：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Title"="My Setup Title"

"Flag"=dword:00000002

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001
"RunMyApp"="||notepad.exe"

語法為：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Flags = 0x0000000

Title = "Status Dialog Box Title"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Depend

0001 = "xxx1"

000X = "xxxx"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001

Entry1 = "MyApp1.exe"

EntryX = "MyApp2.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000x

…

上面的例子中，“xxx1，xxxx”是一個動態鏈接庫（DLL）或.OCX文件名（如My.ocx或My.dll）；“0001，000x”是部分名字。可以是數字和文字；“entry1，entryX”是指向一個要運行的程序文件的注冊表串值。

下表給出鍵值的說明，Flags是一個定位在RunOnceEx鍵用來激活/禁止的DWORD值，具體如下：

2．特殊啟動

在注冊表中除了上述的普通啟動方式以外，還可以利用一些特殊的方式達到啟動的目的：

[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="%1" %* 

[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="%1" %* 

[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="%1" %* 

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="%1" %* 

[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="%1" %*

[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="%1" %*

[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="%1" %*

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="%1" %*

[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\shell\open\command] @= "%1" %*

[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="%1" %*

其實從注冊表的路徑上也許就隱約可以看出，這些都是一些經常被執行的可執行文件的鍵值。往往有些木馬是可以更改這些鍵值從而達到加載的目的：

如果我們把“"%1" %*”修改為“file.exe"%1" %*”，則文件file.exe就會在每次執行某一個類型的文件（需要看修改的是哪一個文件類型）的時候被執行！

當然，可以被更改的不一定只是可執行文件，比如冰河就利用了TXT文件的鍵值：

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]實現木馬的一種啟動方式。

四、其他啟動方式

1．C:\Explorer.exe啟動方式

這是一種特殊的啟動方式，很少有人知道。

在Windows 9x下，由于System.ini只指定了Windows的外殼文件Explorer.exe的名稱，而并沒有指定絕對路徑，所以Windows 9x會搜索Explorer.exe文件。搜索順序如下：

首先搜索當前目錄；如果沒有搜索到Explorer.exe則系統會獲取[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Environment\Path]的信息獲得相對路徑；如果還是沒有文件，系統則會獲取[HKEY_CURRENT_USER\Environment\Path]的信息并獲得相對路徑。

其中，[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相對路徑的鍵值為：“%SystemRoot%\System32;%SystemRoot%”和空。

所以，由于當系統啟動時，“當前目錄”肯定是“%SystemDrive%\”（系統驅動器），這樣系統搜索Explorer.exe的順序應該是：

%SystemDrive%\（例如C:\）
%SystemRoot%\System32（例如C:\Winnt\System32）
%SystemRoot%（例如C:\Winnt）

此時，如果把一個名為Explorer.exe的文件放到系統根目錄下，這樣在每次啟動時，系統就會自動先啟動根目錄下的Explorer.exe而不啟動Windows目錄下的Explorer.exe了。

在Windows NT系列下，Windows NT/2000更加注意了Explorer.exe的文件名放置的位置，把系統啟動時要使用的外殼文件Explorer.exe的名稱放到了：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell]。

作為默認這個位置是不存在的，默認為是Explorer.exe。

注意：一定要確定根目錄下的Explorer.exe要能啟動Windows目錄下的Explorer.exe，否則會導致Windows無法啟動！現在流行的病毒CodeRed就會在C:\和D:\目錄下放置兩個約8KB的Explorer.exe的文件！

2．屏幕保護啟動方式

Windows的屏幕保護程序是一個.scr文件。這是一個PE格式的可執行文件。如果把屏幕保護程序.scr更名為.exe的文件，則該程序仍然可以正常啟動。類似的.exe文件更名為.scr文件也是一樣可以被運行！

.scr文件默認存在于C:\Windows目錄中，它的名字就是在“顯示”屬性中的“屏幕保護程序”中的名稱。在C:\Windows目錄下的所有.scr文件都會被Windows的“屏幕保護程序”顯示，而文件路徑本身保存在System.ini中的“Scrnsave.exe =”的這條中。

有意思的是在“Scrnsave.exe =”這條中，其規定的路徑也包含了目錄名稱。即如果我們想安裝一個.scr文件時，其安裝路徑為D:\SCR\1.scr，而D:\SCR\這個目錄中還有2.scr，則在這個目錄中的所有.scr（1.scr，2.scr）文件都會被顯示在“屏幕保護程序”設置中。如果屏幕保護程序設為“（無）”，則“Scrnsave.exe =”這條不存在。但如果“Scrnsave.exe=”這條所指的文件或目錄是錯誤的，則在“屏幕保護程序設置”中仍然會顯示“（無）”。

屏幕保護程序的啟動時間保存在注冊表中的這個位置上：

HKEY_USERS\.DEFAULT\Control Panel\desktop\ScreenSaveTimeOut

時間單位為秒，不過雖然是秒，可啟動時間卻為分，即從60秒開始記錄，如果記錄時間小于60秒，則自動定為1分鐘。

屏幕保護是否設置密碼的鍵值為：

HKEY_USERS\.DEFAULT\Control Panel\desktop\ScreenSaveUsePassword

有密碼則值為1，沒有密碼則值為0。

由此可見，如果有人把自己所作的.exe程序更名為.scr的程序，并使程序能夠在System.ini中添加“Scrnsave.exe=/%Path%/file.scr”（/%Path%/file.scr為所需要設置的文件的路徑和文件名，如C:\Program files\trojan.scr），修改注冊表中的HKEY_USERS\.DEFAULT\Control Panel\desktop\ScreenSaveTimeOut，定時間為60，則系統只要閑置一分鐘該文件就會被啟動！

另外一個簡單的破壞方式就是可以隨機產生屏幕保護密碼并寫入相應文件的相應位置，定時間為1分鐘，則系統只要閑置一分鐘則會被被鎖！

注意：由于“Scrnsave.exe=”還會定義.scr文件的路徑，所以最好不要把要啟動的文件放置在.scr文件較多的一些目錄，否則容易引起懷疑。（Windows目錄除外）

五、自動啟動相關

1．代啟動

這種啟動方式其實只是一個方法的問題。即可以用啟動一個正常文件來啟動另一個文件，SubSeven就用過啟動Windos.exe從而啟動SubSeven的Sever文件的方法。

2．Start啟動

在“運行”中或“MS-DOS”方式中輸入“start”（回車），則會顯示：

Runs a Windows program or an MS-DOS program.

START [options] program [arg…]

START [options] document.ext

/m[inimized] Run the new program minimized (in the background).

/max[imized] Run the new program maximized (in the foreground).

/r[estored] Run the new program restored (in the foreground). [default]

/w[ait] Does not return until the other program exits.

如果要啟動的程序配合這個命令，則可以更加隱蔽，如：

start/m file.exe

3．控制面板啟動

這是利用控制面板程序可以被類似DLL執行，從而達到啟動目的。

在控制面板中，.cpl文件是控制面板的原文件。默認的這些文件都會被放置在/％Windows％/System/目錄下的，如desk.cpl是桌面屬性、inetcpl.cpl是Internet選項之類。但這些.cpl文件全都是PE格式文件，也就是說如果用戶把一個可執行的類似DLL的.cpl文件放入%\Windows%\System\中，則在控制面板中可看到其圖標，并可執行！

由于.cpl文件的特殊性，需要使用rundll32.exe來啟動該文件。Rundll32.exe是Windows用來調用動態連接庫函數時所使用的文件，在運行中輸入：

rundll32 shell32.dll,Control_RunDLL /%path%/desk.cpl,,X

其中shell32.dll為被調用的DLL文件，意思為調用shell32.dll中的Control_RunDLL來打開desk.cpl文件；/%path%/為.cpl文件的路徑，默認為C:\Windows\System；最后的X為desk.cpl文件的頁數：從0開始，0為第一頁（如顯示屬性的“背景”），1為第二頁（如桌面屬性的“屏幕保護程序”），依此類推。

但如果照上面的方法做，則該文件會在控制面板中被顯示。有兩種方法可以不讓其顯示：

不要把自己的.cpl文件放在C:\Windows\System中，因為默認的情況下Windows會加載的所有.cpl文件。如果想讓其顯示則打開C:\Windows\下的Control.ini文件，在[MMCPL]中寫入類似：file.cpl=D:\path\file.cpl的命令，從而達到顯示的目的。

當你看到Control.ini文件的時候一定可以看到在[MMCPL]上面的[don't load]。是的，如果把你的文件以“file.cpl=no”的格式寫入到這里面，那么文件就不被加載了。反之恢復。

4．其他

注冊表中

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced的“HideFileExt”這個鍵值是確定Windows是不是顯示擴展名的值，如果其值為1就隱藏擴展名，為0則不隱藏。

EXE文件中

如SirCam蠕蟲一樣，*.EXE文件的擴展名可以改名稱為.BAT、.COM、.PIF、.SCR等，并且運行效果一樣，反過來不一定。但.EXE文件并不能更名為.LNK文件，這也許也是SirCam的一個BUG。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001