\Microsoft\Windows\CurrentVers1n\RunServices)和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVers1n\RunServices)下����。
[0063]8) “RUn0nCe\SetUp”子鍵一一其默認(rèn)值是在用戶登錄后加載的程序。
[0064]這個鍵同時位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers1n\Run0nce\Setup〕和〔HKEY_L0CAL_MACHINE\Software\Microsoft\Windows\CurrentVers1n\RunOnce\Setup〕下����。
[0065]9) “ RunOnce ”子鍵——許多自啟動程序要通過RunOnce子鍵來完成第一次加載。
[0066]這個鍵同時位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers1n\RunOnce)和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVers1n\RunOnce)下����。位于〔HKEY_CURRENT_USER〕根鍵下的 RunOnce 子鍵在用戶登錄后及其它注冊表的Run鍵值加載程序前加載相關(guān)程序,而位于〔HKEY_L0CAL_MACHINE〕主鍵下的Runonce子鍵則是在操作系統(tǒng)處理完其它注冊表Run子鍵及自啟動文件夾內(nèi)的程序后再加載的����。在Windows XP 中還多出一個〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVers1n\RunOnceEX)子鍵,其道理相同����。
[0067]10) “Run”子鍵一一目前最常見的自啟動程序用于加載的地方��。
[0068]這個鍵同時位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers1n\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\ffindows\CurrentVers1n\Run)下。
[0069]其中位于〔HKEY_CURRENT_USER〕根鍵下的Run 鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動�,但兩個鍵值都是在“啟動”文件夾之前加載。
[0070]11)再者就是Windows中加載的服務(wù)了���,它的級別較高��,用于最先加載���。
[0071]其位于〔HKEY_LOCAL_MACHINE\System\CurrentCont;rolSet\Se;rvices〕下,看到了嗎����,你所有的系統(tǒng)服務(wù)加載程序都在這里了 !
[0072]12)Windows Shell——系統(tǒng)接口
[0073]它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVers1n\Winlogon\〕下面的Shell字符串類型鍵值中��,其默認(rèn)值為Explorer, exe,當(dāng)然可能木馬程序會在此加入自身并以木馬參數(shù)的形式調(diào)用資源管理器���,以達(dá)到欺騙用戶的目的��。
[0074]13)BootExecute--屬于啟動執(zhí)行的一個項目
[0075]可以通過它來實現(xiàn)啟動Native程序�����,Native程序在驅(qū)動程序和系統(tǒng)核心加載后將被加載����,此時會話管理器(smss.exe)進(jìn)行WindowsNT用戶模式并開始按順序啟動native程序
[0076]它位于注冊表中〔HKEY_L0CAL_MACHINE\System\ControlSet001\Sess1nManager\〕下面,有一個名為BootExecute的多字符串值鍵��,它的默認(rèn)值是"autocheckautochk*"��,用于系統(tǒng)啟動時的某些自動檢查����。這個啟動項目里的程序是在系統(tǒng)圖形界面完成前就被執(zhí)行的,所以具有很高的優(yōu)先級�。
[0077]14)策略組加載程序一一打開Gpedit.msc,展開“用戶配置一一管理模板一一系統(tǒng)一一登錄”,就可以看到“在用戶登錄時運行這些程序”的項目����,你可以在里面添加。
[0078]在注冊表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers1n\Group Policy 0bjects\ 本地 User\Software\Microsoft\ffindows\CurrentVers1n\Policies\Explorer\R un]你也可以看到相對應(yīng)的鍵值�����。
[0079]備注:
[0080]Home版的XP中沒有提供gpedit工具�����,可到網(wǎng)上搜索并下載補丁。
[0081]快速進(jìn)入啟動項
[0082]快速進(jìn)入啟動項的方法是在運行中輸入msconfig��,即可看到窗口下的啟動項運行項目�。
[0083]常用啟動
[0084]常用的啟動——系統(tǒng)配置文件
[0085]在Windows 的配置文件(包括 Win.1n1�����、System, ini 和 wininit.1ni 文件)也會加載一些自動運行的程序����。
[0086]Win.1ni 文件
[0087]使用“記事本”打開Win.1ni文件,在[windows]段下的“Run =”和“LOAD =”語句后面就可以直接加可執(zhí)行程序���,只要程序名稱及路徑寫在“=”后面即可��。
[0088]“l(fā)oad =”后面的程序在自啟動后最小化運行�����,而“run =”后程序則會正常運行�。
[0089]System, ini 文件
[0090]使用“記事本”打開System, ini文件����,找到[boot]段下“shell =”語句,該語句默認(rèn)為“shell = Explorer, exe”,啟動的時候運行Windows外殼程序explorer, exe����。病毒可不客氣,如“妖之吻”病毒干脆把它改成“shell = c:\yzw.exe ”�,如果你強行刪除“妖之吻”病毒程序yzw.exe,Windows就會提示報錯�����,讓你重裝Windows����,也有客氣一點的病毒,如將該句變成“shell = Explorer, exe其他程序名”��,看到這樣的情況���,后面的其他程序名一定是病毒程序如所示�����。
[0091]wininit.1ni
[0092]wininit.1ni文件是很容易被許多電腦用戶忽視的系統(tǒng)配置文件���,因為該文件在Windows啟動時自動執(zhí)行后會被自動刪除,這就是說該文件中的命令只會自動執(zhí)行一次。該配置文件主要由軟件的安裝程序生成��,對那些在Windows圖形界面啟動后就不能進(jìn)行刪除���、更新和重命名的文件進(jìn)行操作�����。若其被病毒寫上危險命令,那么后果與“C盤殺手”無升�����。
[0093]如果不知道它們存放的位置�,按F3鍵打開“搜索”對話框進(jìn)行搜索;
[0094]單擊“開始一運行”�,輸入sysedit回車,打開“系統(tǒng)配置編輯程序”���,在這里也可以方便的對上述文件進(jìn)行查看與修改�����。
[0095]常見項目
[0096]常見的啟動項-系統(tǒng)ctfmon用戶輸入技術(shù)支持
[0097]internat.exe輸入法指示器程序
[0098]LoadPowerProf i Ieffin98/Me 電源管理
[0099]PCHealthffinMe 系統(tǒng)自愈功能
[0100]ScanRegistry啟動時檢查并備份注冊表
[0101]SchedulingAgent系統(tǒng)計劃任務(wù)程序
[0102]Synchronizat1nManagerffin2000 同步管理
[0103]SystemTray系統(tǒng)托盤管理內(nèi)存駐留程序
[0104]TaskbarDisplayControls屏幕-屬性-設(shè)置-高級-在任務(wù)欄中顯示圖標(biāo)
[0105]TaskMonitor任務(wù)檢測程序����,記錄使用軟件情況
[0106]^StateMgrffinMe系統(tǒng)還原常見的啟動項-軟件CnsMin3721網(wǎng)站的中文域名
[0107]KingsoftAntiVirus金山毒霸的啟動項
[0108]McAfeeVirusScanService 殺毒軟件 McAfeeVirusScanVPTRAY 諾頓殺毒軟件的啟動項ccapp也是諾頓的東西
[0109]msmsgsffindowsMessenger
[0110]NDetectICQ 的啟動程序
[0111]popproxy瑞星防火墻
[0112]RavMon瑞星殺毒軟件
[0113]RavTimer瑞星殺毒軟件
[0114]RealTrayRealplay 的啟動項
[0115]TkBellExeRealOnePlayer的啟動項補充:頂SCMIG.EXE微軟頂E輸入法的組件IMJPMIG, TINTSETP,TINTSETP這三項�����。這三項是日文��,韓文等輸入法的啟動項目��,一般我們都不會使用日文�����,韓文這些輸入法����,所以可以禁止這三項隨機啟動。
[0116]本發(fā)明是一種電腦程序的開機啟動方法���,過去的開機啟動方法能被殺毒軟件屏蔽�,軟件和系統(tǒng)是分開的��,本發(fā)明解決了殺毒軟件隨意屏蔽阻止相關(guān)軟件隨系統(tǒng)啟動的惡意行為��,也把軟件嵌入到系統(tǒng)中。
【發(fā)明內(nèi)容】
[0117]本發(fā)明的目的是提供一種電腦程序的開機啟動方法����,這樣可以在電腦開機,加載系統(tǒng)的同時把電腦程序加載到里面去�����,很多軟件需要在電腦開機的同時啟動�,這樣做讓用戶更方便,解決了很多必須開機啟動的程序需要用戶自己手動啟動�。
[0118]程序安裝的時候��,會安裝一個驅(qū)動程序到我的電腦�����,驅(qū)動程序啟動時會hook內(nèi)核函數(shù) ZwEnumerateKey���,函數(shù) ZwEnumerateValueKey 和函數(shù) ZwQueryValueKey����,在系統(tǒng)的注冊表run鍵值中虛擬需要啟動的相關(guān)程序���,當(dāng)桌面進(jìn)程啟動后啟動鍵值run中的程序��,這樣我們的安裝程序就啟動成功�。
[0119]本發(fā)明的有益效果是,嵌入到啟動系統(tǒng)中的電腦程序隨系統(tǒng)啟動��,并且殺毒軟件等電腦清理軟件不能阻止此功能�����,讓一些用戶自愿必須開機啟動的電腦程序能隨機啟動�����,讓用戶體驗更方便�����。
【具體實施方式】
[0120]本發(fā)明涉及一種電腦程序的開機啟動方法��。
[0121 ] 首先安裝一個驅(qū)動程序到我的電腦���,
[0122]其次驅(qū)動程序在啟動時會hook內(nèi)核函數(shù)ZwEnumerateKey����,函數(shù)ZwEnumerateValueKey 和函數(shù) ZwQueryValueKey,
[0123]再次在系統(tǒng)的注冊表run鍵值中虛擬需要啟動的相關(guān)程序,
[0124]再次當(dāng)桌面進(jìn)程啟動后啟動run鍵值中的程序����,
[0125]最后我們的安裝程序就啟動成功。
【主權(quán)項】
1.電腦程序的開機啟動方法���,其特征在于�,桌面進(jìn)程啟動后都能啟動注冊表中run鍵值中的程序��,步驟如下: 1)程序安裝時會在我的電腦安裝一個驅(qū)動�, 2)驅(qū)動程序啟動時會hook內(nèi)核函數(shù)ZwEnumerateKey,函數(shù)ZwEnumerateValueKey和函數(shù) ZwQueryValueKey���, 3)在系統(tǒng)的注冊表ru η鍵值中虛擬需要啟動的相關(guān)程序, 4)當(dāng)桌面進(jìn)程啟動后啟動ru η鍵值中的程序�����,我們的安裝程序啟動成功�。2.如權(quán)利要求1所述的電腦程序的開機啟動方法,其特征在于:所述的方法適用于目前的任何系統(tǒng)����。3.如權(quán)利要求1所述的電腦程序的開機啟動方法����,其特征在于:所述方法適用于目前的任何桌面進(jìn)程�。
【專利摘要】本發(fā)明是一種電腦程序的開機啟動方法,程序安裝的時候�����,會安裝一個驅(qū)動到我的電腦�,驅(qū)動程序啟動時會hook內(nèi)核函數(shù)ZwEnumerateKey,函數(shù)ZwEnumerateValueKey和函數(shù)ZwQueryValueKey���,在系統(tǒng)的注冊表run鍵值中虛擬需要啟動的相關(guān)程序����,當(dāng)桌面進(jìn)程啟動后啟動run鍵值中的程序�����,這樣我們的安裝程序就啟動成功�。
【IPC分類】G06F9/445
【公開號】CN105630532
【申請?zhí)枴緾N201410705399
【發(fā)明人】秦江波
【申請人】秦江波
【公開日】2016年6月1日
【申請日】2014年12月1日