开机启动项
在我们的计算机开机的时候,总是会有一些程序和服务自动启动,这其中包括Windows操作系统运行所必须的程序和其他用户程序。这是操作系统给用户提供的功能,意在为用户开机启动程序提供方便,我们不必每次启动时都手动的打开一些必须打开的程序。
为什么要检查开机启动项?假如黑客入侵了我们的机器,在机器后台运行了一个木马,但是,机器关机后,后台运行的木马自然就会停止。有什么办法能让机器每次重启后木马都能继续运行?配置开机启动项就是最经典的方案。
开机启动项,能在开机的时候自动启动我们想要的程序,同样也能自动启动木马病毒。因此,检查开机启动项很有必要。
Windows在看配置开机启动项Windows针对开机启动项的配置比较杂,整理出的配置项如下:
- 启动文件夹:您可以通过开始菜单>右键点击开始>选择运行(就是前文所说的Win R)>输入shell:startup访问当前用户的启动文件夹。有些程序的快捷方式会放在这里,使其在开机时自动运行。
- 任务管理器的启动选项:按Ctrl Shift Esc键打开任务管理器,然后点击顶部的启动标签。这将列出所有设置为在启动时运行的应用程序。
- 系统配置(msconfig):在运行对话框输入msconfig然后点击确定,打开系统配置窗口。点击上方的启动和服务标签会列出更多的启动项。
- 注册表:在运行对话框中输入regedit,然后点击确定,打开注册表编辑器。启动项主要保存在两个地方:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。在这两个路径下的项都会在开机时运行。
实际上影响开机启动的注册表很多,这里列出四个主要的:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- 服务:在运行框中输入services.msc并按回车键。这会打开服务窗口,显示所有服务,包括在启动时运行的服务。请注意,有些服务是必需的,禁用它们可能会影响系统的运行。
首先,上述列出的方法中,系统配置和服务两处,检查比较复杂,不适合小白上手。可以针对启动文件夹和任务管理器、注册表三点做检查。
检查的方法有两种,前面的文章都介绍过:
方法1:利用威胁情报检查文件:
方法2:通过哈希判断文件是否被修改:
