详解Windows中自启动程序的藏身之处[图文]

小小冰

很多计算机初级用户认为管好了「开始→程序→启动」窗体就万事大吉，实际上，在windows xp/2K中，让Windows自动启动程序的办法很多，而且一些恶意软件或流氓软件的自启动方式还非常隐蔽，想找出并清理他们确实有点麻烦。

　　仅仅依靠软件去清理是不够的，我们还要主动出击，主动了解Windows中的自启动机制，这样才能知己知彼，百战不殆。

　　一、当前用户专有的启动档案夹

　　这是许多应用软件自动启动的常用位置，Windows自动启动放入该档案夹的所有建立捷径。用户启动档案夹一般在：\Documents and Settings\<用户名字>\「开始」窗体\程序\启动，其中「<用户名字>」是当前登入的用户账户名称。

　　二、对所有用户有效的启动档案夹

　　这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登入系统，放入该档案夹的建立捷径总是自动启动 ——这是它与用户专有的启动档案夹的区别所在。该档案夹一般在：\Documents and Settings\All Users\「开始」窗体\程序\启动。

　　三、Load注册键

　　介绍该注册键的数据不多，实际上它也能够自动启动程序。位置：

　　HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\load。

　　四、Userinit注册键

　　位置：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。

　　这里也能够使系统启动时自动启始化程序。通常该注册键下面有一个userinit.exe，这个键允许指定用逗号分隔的多个程序，例如「userinit.exe,OSA.exe」(不含引号)。

　　五、Explorer\Run注册键

　　和load、 Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run。

　　六、RunServicesOnce注册键

　　RunServicesOnce 注册键用来启动服务程序，启动时间在用户登入之前，而且先于其它通过注册键启动的程序。RunServicesOnce注册键的位置是：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。

　　七、RunServices注册键

　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后执行，但两者都在用户登入之前。RunServices的位置是：

　　HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\RunServices，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices。

　　八、RunOnce\Setup注册键

　　RunOnce\Setup 指定了用户登入之后执行的程序，它的位置是：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

　　CurrentVersion\RunOnce \Setup。

　　九、RunOnce注册键

　　安装程序通常用RunOnce键自动执行程序，它的位置在

　　HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\RunOnce。

　　HKEY_LOCAL_MACHINE下面的 RunOnce键会在用户登入之后立即执行程序，执行时机在其它Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其它Run键以及「启动」数据夹的内容之后执行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。

　　十、Run注册键

　　Run是自动执行程序最常用的注册键，位置在：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run。

　　HKEY_CURRENT_USER下面的Run键紧接 HKEY_LOCAL_MACHINE下面的Run键执行，但两者都在处理「启动」数据夹之前。