Windows开机启动项：木马病毒藏匿温床，警惕安全风险

admin2023-11-08【电脑应用】浏览：187

开机启动项

在我们的计算机开机的时候，总是会有一些程序和服务自动启动，这其中包括Windows操作系统运行所必须的程序和其他用户程序。这是操作系统给用户提供的功能，意在为用户开机启动程序提供方便，我们不必每次启动时都手动的打开一些必须打开的程序。

为什么要检查开机启动项？

假如黑客入侵了我们的机器，在机器后台运行了一个木马，但是，机器关机后，后台运行的木马自然就会停止。有什么办法能让机器每次重启后木马都能继续运行？配置开机启动项就是最经典的方案。

开机启动项，能在开机的时候自动启动我们想要的程序，同样也能自动启动木马病毒。因此，检查开机启动项很有必要。

Windows在看配置开机启动项

Windows针对开机启动项的配置比较杂，整理出的配置项如下：

• 启动文件夹：您可以通过开始菜单>右键点击开始>选择运行（就是前文所说的Win+R）>输入shell:startup访问当前用户的启动文件夹。有些程序的快捷方式会放在这里，使其在开机时自动运行。

• 任务管理器的启动选项：按Ctrl + Shift + Esc键打开任务管理器，然后点击顶部的启动标签。这将列出所有设置为在启动时运行的应用程序。

• 系统配置（msconfig）：在运行对话框输入msconfig然后点击确定，打开系统配置窗口。点击上方的启动和服务标签会列出更多的启动项。

• 注册表：在运行对话框中输入regedit，然后点击确定，打开注册表编辑器。启动项主要保存在两个地方：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。在这两个路径下的项都会在开机时运行。

实际上影响开机启动的注册表很多，这里列出四个主要的：

1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
2. HKCU\Software\Microsoft\Windows\CurrentVersion\Run
3. HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
4. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

• 服务：在运行框中输入services.msc并按回车键。这会打开服务窗口，显示所有服务，包括在启动时运行的服务。请注意，有些服务是必需的，禁用它们可能会影响系统的运行。

怎么判断开机启动项是否可疑？

首先，上述列出的方法中，系统配置和服务两处，检查比较复杂，不适合小白上手。可以针对启动文件夹和任务管理器、注册表三点做检查。

检查的方法有两种，前面的文章都介绍过：

方法1：利用威胁情报检查文件:风险发现：获取Windows所有进程PID

方法2：通过哈希判断文件是否被修改:哈希对比法——最直接的可疑文件检查法