中国DOS联盟论坛

中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名:www.cn-dos.net  论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!

游客:  注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »
中国DOS联盟论坛 » 其它操作系统综合讨论区 » 注册表启动项小小总结
作者:
标题: 注册表启动项小小总结 上一主题 | 下一主题
bagpipe
银牌会员

DOS联盟捡破烂的


积分 1144
发帖 425
注册 2005-10-20
来自 北京
状态 离线
『楼 主』:  注册表启动项小小总结

(本来应该发到WINDOWS板块,我觉得这里乢 tabindex=

我一发,您一看,就OK了,不知道的就当学习,知道的就当是回顾一下,有点无聊

1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

在上面的注册表选项中新建一个注册表项,项名为sol.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序calc.exe的全路径
这样在每次运行SOL.EXE这个程序的时候就自动运行了CALC.EXE这个程序了,就是把他的调试程序改了的缘故,很多木马是这样的.

2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

这个呢,用"Shell"="Explorer.exe sol.exe"这种形式来运行程序,注意EXPLORER.EXE和SOL.EXE之间有个空格.

3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"

以上这个呢,我们这样来运行程序"Userinit"="C:\\WINNT\\system32\\userinit.exe,sol.exe",注意USERINIT.EXE后面的逗号可别丢了哈!

4.[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

这个一般木马程序经常使用,不用我说了,"load"="c:\winnt\system32\sol.exe"用这样的形式运行,不过最好是完整路径啊,自己体验吧!

5.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
这个我就不多说了,大家都应该会的

6.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun"=""

这个小说一下,就是运行CMD.exe的时候发会引发你指定程序的运行,不过你指定的程序必须在C:\WINNT\SYSTEM32这个目录里面,不用填入完整路径,只填入要运行的可执行文件的完整名称就可以了

7.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
这个健值我想也不用我多说了吧,大家都应该会的.


最后还有就是组策略里的启动和开机脚本的启动和运行,查查就知道了,好了,先到这里吧!

2006-2-21 12:59
查看资料  发送邮件  访问主页  发短消息 网志   编辑帖子  回复  引用回复

请注意:您目前尚未注册或登录,请您注册登录以使用论坛的各项功能,例如发表和回复帖子等。


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转: