很多監控軟體要求軟體能夠在系統重新啟動後不用使用者去點選圖示啟動項目,而是直接能夠啟動運作,方法是寫系統資料庫Software\\Microsoft\\Windows\\CurrentVersion\\Run 。
參考程式可以見下:(查找程式目錄的執行檔案,存在則進行添加系統資料庫操作)
//實用代碼一
int C***Dlg::CreateRun(void)
{
//添加以下代碼
HKEY RegKey;
CString sPath;
GetModuleFileName(NULL,sPath.GetBufferSetLength(MAX_PATH+1),MAX_PATH);
sPath.ReleaseBuffer();
int nPos;
nPos=sPath.ReverseFind(‘\\’);
sPath=sPath.Left(nPos);
CString lpszFile=sPath+”\\getip.exe”;//這裡加上你要查找的執行檔案名稱
CFileFind fFind;
BOOL bSuccess;
bSuccess=fFind.FindFile(lpszFile);
fFind.Close();
if(bSuccess)
{
CString fullName;
fullName=lpszFile;
RegKey=NULL;
RegOpenKey(HKEY_LOCAL_MACHINE,”Software\\Microsoft\\Windows\\CurrentVersion\\Run”,&RegKey);
RegSetValueEx(RegKey,”getip”,0,REG_SZ,(const unsigned char*)(LPCTSTR)fullName,fullName.GetLength());//這裡加上你需要在系統資料庫中注冊的内容
this->UpdateData(FALSE);
}
else
//theApp.SetMainSkin();
::AfxMessageBox(“沒找到執行程式,自動運作失敗”);
exit(0);
return 0;
}
//把上面的getip(共2處)替換成自己想啟動程式的名字。
================================================
實用代碼二:
//寫入系統資料庫,開機自啟動
HKEY hKey;
//找到系統的啟動項
LPCTSTR lpRun = “Software\\Microsoft\\Windows\\CurrentVersion\\Run”;
//打開啟動項Key
long lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE, lpRun, 0, KEY_WRITE, &hKey);
if(lRet == ERROR_SUCCESS)
char pFileName[MAX_PATH] = {0};
//得到程式自身的全路徑
DWORD dwRet = GetModuleFileName(NULL, pFileName, MAX_PATH);
//添加一個子Key,并設定值 // 下面的“getip”是應用程式名字(不加字尾.exe)
lRet = RegSetValueEx(hKey, “getip”, 0, REG_SZ, (BYTE *)pFileName, dwRet);
//關閉系統資料庫
RegCloseKey(hKey);
if(lRet != ERROR_SUCCESS)
{
AfxMessageBox(“系統參數錯誤,不能随系統啟動”);
}
一、目前使用者專有的啟動檔案夾
這是許多應用軟體自動啟動的常用位置,Windows自動啟動放入該檔案夾的所有快捷方式。使用者啟動檔案夾一般在:\Documents and Settings\<使用者名字>\「開始」菜單\程式\啟動,其中“<使用者名字>”是目前登入的使用者帳戶名稱。
二、對所有使用者有效的啟動檔案夾
這是尋找自動啟動程式的第二個重要位置,不管使用者用什麼身份登入系統,放入該檔案夾的快捷方式總是自動啟動——這是它與使用者專有的啟動檔案夾的差別所在。該檔案夾一般在:\Documents and Settings\All Users\「開始」菜單\程式\啟動。
三、Load注冊鍵
介紹該注冊鍵的資料不多,實際上它也能夠自動啟動程式。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
四、Userinit注冊鍵
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。這裡也能夠使系統啟動時自動初始化程式。通常該注冊鍵下面有一個userinit.exe,如圖,但這個鍵允許指定用逗号分隔的多個程式,例如“userinit.exe,OSA.exe”(不含引号)。
五、Explorer\Run注冊鍵
和load、Userinit不同,Explorer\Run鍵在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具體位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
六、RunServicesOnce注冊鍵
RunServicesOnce注冊鍵用來啟動服務程式,啟動時間在使用者登入之前,而且先于其他通過注冊鍵啟動的程式。RunServicesOnce注冊鍵的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
七、RunServices注冊鍵
RunServices注冊鍵指定的程式緊接RunServicesOnce指定的程式之後運作,但兩者都在使用者登入之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
八、RunOnce\Setup注冊鍵
RunOnce\Setup指定了使用者登入之後運作的程式,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。
九、RunOnce注冊鍵
安裝程式通常用RunOnce鍵自動運作程式,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce鍵會在使用者登入之後立即運作程式,運作時機在其他Run鍵指定的程式之前。HKEY_CURRENT_USER下面的RunOnce鍵在作業系統處理其他Run鍵以及“啟動”檔案夾的内容之後運作。如果是XP,你還需要檢查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
十、Run注冊鍵
Run是自動運作程式最常用的注冊鍵,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵運作,但兩者都在處理“啟動”檔案夾之前。
有時候人們往往會為了一個程式的啟動而頭痛,因為一些使用者往往不知道那些檔案是如何啟動的。是以經常會有些沒用的東西挂在系統上占用資源。有時候也會有人因為不知道如何啟動某個檔案而頭痛。更有些特洛依木馬的作者因為不清楚系統的自啟動方式而使自己的木馬輕松被别人發現……
Windows的自啟動方式其實有許多方式。除了一些常見的啟動方式之外,還有一些非常隐蔽的可用來啟動檔案的方式。本文總結如下,雖然不是全部,但我想應該會對大家有所幫助。文章全部以系統預設的狀态為準,以供研究。
其中(English)代表英文作業系統,(Chinese)代表中文作業系統。本文沒加說明指的全為中文Windows98作業系統。
警告: 文中提及的一些操作可能會涉及到系統的穩定性。例如如果不正确地使用系統資料庫編輯器可以導緻可能重新安裝系統這樣嚴重的問題。微軟也不能保證因不正常使用系統資料庫編輯器而造成的結果可以被解決。筆者不對使用後果負責,請根據自己的情況使用。
Windows的自啟動方式:
一.自啟動目錄:
1.第一自啟動目錄:
預設路徑位于:
C:windowsstart menuprogramsstartup(English)
C:windowsstart menuprograms啟動(Chinese)
這是最基本、最常用的Windows啟動方式,主要用于啟動一些應用軟體的自啟動項目,如Office的快捷菜單。一般使用者希望啟動時所要啟動的檔案也可以通過這裡啟動,隻需把所需檔案或其快捷方式放入檔案夾中即可。
對應的系統資料庫位置:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders]
Startup=\”%Directory%\”
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
其中“%Directory%”為啟動檔案夾位置。
英文預設為: C:windowsstart menuprogramsstartup
中文預設為: C:windowsstart menuprograms啟動
在開始菜單的“啟動”檔案夾是可更改的,如果使用者更改了啟動檔案夾,則以上系統資料庫的鍵值均會改變為相應的名稱。
值得注意的是:開始菜單的“啟動”檔案夾中的内容雖然在預設的狀态下可以被使用者看得一清二楚。但通過改動還是可以達到相當隐蔽地啟動的目的的:
首先,“啟動”檔案夾中的快捷方式或其他檔案的屬性可以改變為“隐藏”。這樣可以達到系統不啟動被隐藏的檔案,等到需要啟動的時候又可以通過更改回檔案屬性而恢複啟動的作用。
其次,其實“啟動”檔案夾隻是一個普通的檔案夾,但是由于系統監視了這個檔案夾,是以變得有些特殊,但檔案夾有的功能該檔案夾也是有的。譬如“啟動”檔案夾的名稱是可以更改的,并且“啟動”檔案夾也可以設定屬性。如果把屬性設定為“隐藏”,則在系統中的【開始】?【程式】菜單中是看不到“啟動”檔案夾的(即使在“檔案夾選項”中已經設定了“顯示所有檔案”)。而系統還會啟動這個被隐藏的檔案夾中的非隐藏檔案。
敏感的人們也許已經發現問題。舉一個例子:
如果我想啟動A木馬的server端伺服器,我可以把原來的“啟動”菜單的名稱更改為“StartUp”(這裡是随便改的,系統資料庫相應的鍵值也會自動更改。)之後再建立一個名為“啟動”的檔案夾,把“StartUp”菜單中的檔案全部複制(這裡用複制,可以騙過使用者的檢查)到“啟動”菜單中,然後把A木馬的server程式放入“StartUp”檔案夾中,最後把“StartUp”檔案夾隐藏。大功告成!
從外表看來,使用者的【開始】?【啟動】目錄還在,而且要啟動的檔案也在。但系統此時啟動的檔案不是名為“啟動”的檔案夾中的檔案,而是名為“StartUp”的檔案夾中的檔案。如果木馬做的好的話,完全可以在每次啟動的時候把“StartUp”中的檔案複制到“啟動”目錄中來達到實時更新啟動目錄的目的。由于“StartUp”檔案夾被隐藏,從【開始】?【程式】中是無法看到真正的啟動菜單“StartUp”的,是以達到了隐蔽啟動的目的!
這個啟動方式雖然比較隐蔽,但通過msconfig依舊可以在“啟動”頁中看出來。
2.第二自啟動目錄:
是的,其實,Windows還有另外一個自啟動目錄,而且很明顯但卻經常被人們忽略的一個。
該路徑位于:
C:WINDOWSAll UsersStart MenuProgramsStartUp(English)
C:WINDOWSAll UsersStart MenuPrograms啟動(Chinese)
這個目錄的使用方法和第一自啟動目錄是完全一樣的。隻要找到該目錄,将所需要啟動的檔案拖放進去就可以達到啟動的目的。
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerUser Shell Folders]
\”Common Startup\”=\”%Directory%\”
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShell Folders]
值得注意的是:該目錄在開始菜單的“啟動”目錄中是完全不能被看見的。而伴随着每次啟動,該目錄下的非隐藏檔案也會随之啟動! 另外,在Msconfig中可以看到在這個目錄下要啟動的檔案。
二.系統配置檔案啟動:
由于系統的配置檔案對于大多數的使用者來說都是相當陌生的;這就造成了這些啟動方法相對來說都是相當隐蔽的,是以這裡提到的一些方法常常會被用于做一些破壞性的操作,請讀者注意。
1.WIN.INI啟動:
啟動位置(file.exe為要啟動的檔案名稱):
[windows]
load=file.exe
run=file.exe
注意:load=與run=的差別在于:通過load=運作檔案,檔案會在背景運作(最小化);而通過run=來運作,則檔案是在預設狀态下被運作的。
2.SYSTEM.INI啟動:
預設為:
[boot]
Shell=Explorer.exe
可啟動檔案後為:
Shell=Explorer.exe file.exe
說明:
筆者記得在諾頓先生(就是開發出Norton系列軟體的人)寫的一本書裡面曾經說過,1、2這兩個檔案的有無對系統沒有什麼影響,但由于時間的關系,筆者沒有來得及試驗,有興趣者可以試一試。
不過有一點是可以肯定的,這樣的啟動方式往往會被木馬或一些惡作劇程式(如,妖之吻)利用而導緻系統的不正常。由于一般使用者很少會對這兩個檔案關心,甚至有的人不知道這些檔案是做什麼用的,是以隐蔽性很好。但由于其使用的越來越頻繁,這種啟動方式也被漸漸的察覺了。使用者可以使用msconfig這個指令實作檢查是否有什麼程式被加載。具體的是在看是菜單中的“運作”中輸入msconfig回車,之後按照文字說明即可。
注意:
1. 和WIN.INI檔案不同的是,SYSTEM.INI的啟動隻能啟動一個指定檔案,不要把Shell=Explorer.exe file.exe換為Shell=file.exe,這樣會使Windows癱瘓!
2. 這種啟動方式提前于系統資料庫啟動,是以,如果想限制系統資料庫中的檔案的啟動,可是使用這種方法。
3.WININIT.INI啟動:
Wininit.ini這個檔案也許很多人不知道,一般的操作中使用者也很少能直接和這個檔案接觸。但如果你編寫過解除安裝程式的話,也許你會知道這個檔案。
WinInit即為Windows Setup Initialization Utility。翻譯成中文就是Windows安裝初始化工具。這麼說也許不明白,如果看到如下提示資訊:
Please wait while Setup updates your configuration files.
This may take a few minutes…
大家也許就都知道了!這個就是Wininit.ini在起作用!
由于在Windows下,許多的可執行檔案和驅動檔案是被執行到記憶體中受到系統保護的。是以在Windows的正常狀态下更改這些檔案就成了問題,是以出現了Wininit.ini這個檔案來幫助系統做這件事情。它會在系統裝載Windows之前讓系統執行一些指令,包括複制,删除,重命名等,以完成更新檔案的目的。Wininit.ini檔案存在于Windows目錄下,但在一般時候我們在C:Windows目錄下找不到這個檔案,隻能找到它的exe程式Wininit.exe。原因就是Wininit.ini在每次被系統執行完它其中的指令時就會被系統自動删除,直到再次出現新的Wininit.ini檔案……之後再被删除。
檔案格式:
[rename]
file1=file2
file1=file2的意思是把file2檔案複制為檔案名為file1的檔案,相當于覆寫file1檔案。
這樣啟動時,Windows就實作了用file2更新file1的目的;如果file1不存在,實際結果是将file2複制并改名為file1;如果要删除檔案,則可使用如下指令:
nul=file2
這也就是說把file2變為空,即删除的意思。
以上檔案名都必須包含完整路徑。
1.由于Wininit.ini檔案處理的檔案是在Windows啟動以前處理的,是以不支援長檔案名。
2.以上的檔案複制、删除、重命名等均是不提示使用者的情況下執行的。有些病毒也會利用這個檔案對系統進行破壞,是以使用者如果發現系統無故出現:
那麼也許系統就有問題了。
3. 在Windows 95 Resource Kit中提到過Wininit.ini檔案有三個可能的段,但隻叙述了[rename]段的用法。
4.WINSTART.BAT啟動:
這是一個系統自啟動的批處理檔案,主要作用是處理一些需要複制、删除的任務。譬如有些軟體會在安裝或解除安裝完之後要求重新啟動,就可以利用這個複制和删除一些檔案來達到完成任務的目的。如:
“@if exist C:WINDOWSTEMPPROC.BAT call C:WINDOWSTEMPPROC.BAT”
這裡是執行PROC.BAT檔案的指令;
“call filename.exe > nul”
這裡是去除任何在螢幕上的輸出。
值得注意的是WinStart.BAT檔案在某種意義上有和AUTOEXEC.BAT一樣的作用。如果巧妙安排完全可以達到修改系統的目的!
5.AUTOEXEC.BAT啟動: 這個就沒的說了,應該是使用者再熟悉不過的系統檔案之一了。每次重新啟動系統時在DOS下啟動。惡意的程式往往會利用這個檔案做一些輔助的措施。
//測試通過
#include <shobjidl.h>
#include <shlguid.h>
#include <shlobj.h>
void main()
{
HRESULT hr = CoInitialize(NULL);
if (SUCCEEDED(hr))
{
IShellLink *pisl;
hr = CoCreateInstance(CLSID_ShellLink, NULL, CLSCTX_INPROC_SERVER, IID_IShellLinkA, (void**)&pisl);
if (SUCCEEDED(hr))
{
IPersistFile* pIPF;
char path[MAX_PATH];
GetModuleFileName(GetModuleHandle(NULL), path, MAX_PATH);
pisl->SetPath(path);
hr = pisl->QueryInterface(IID_IPersistFile, (void**)&pIPF);
if (SUCCEEDED(hr))
{
char lnk[MAX_PATH];
SHGetSpecialFolderPath(0, lnk, CSIDL_DESKTOPDIRECTORY, 0);
strcat(lnk, TEXT("\\"));
WCHAR wpath[MAX_PATH] = { 0 };
strcat(lnk, strtok(strrchr(path, '\\'), "\\"));
strcat(lnk, ".lnk");
MultiByteToWideChar(CP_ACP, MB_PRECOMPOSED, lnk, -1, wpath, MAX_PATH);
pIPF->Save(wpath, FALSE);
pIPF->Release();
}
pisl->Release();
}
CoUninitialize();
}
![我的職業生涯(四)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)