Windows中的自动启动项（自动启动的多种方式）

原创

梧桐深院 2022-09-08 14:42:24 博主文章分类：windows ©著作权

©著作权归作者所有：来自51CTO博客作者梧桐深院的原创作品，请联系作者获取转载授权，否则将追究法律责任

为什么要深挖自动启动项？

自动启动功能在给用户带来便捷的同时，也给病毒提供了便利的启动途径。所以无论是出于方便自己使用，还是防范病毒感染电脑，我们都有必要深挖一下windows中所有的启动项。

一、两个文件夹

（1）系统分区（一般为C盘）的 Documents and Settings\用户名\「开始」菜单\Programs\Startup （启动）目录，

用户名为对应的登录用户，例如 Administrator。所以路径为C:/Documents and Settings\Administrator\「开始」菜单\Programs\Startup （启动）。每一个登录用户都对应一个这样的文件夹，会加载其中的自动程序

（2）C:/Documents and Settings\AllUsers\「开始」菜单\Programs\Startup （启动）

无论登录者是谁，都会自动加载此目录下的程序

二、十一个注册表子键

（1）Load

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

（2）Userinit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Windows中的自动启动项（自动启动的多种方式）_microsoft

（3）Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 对当前用户生效

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 对所有用户生效

（4）RunServicesOnce

用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册表键启动的程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

（5）RunServices

RunServices 子键也是在用户登录前及其他注册表自启动程序加载前面加载
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

（6）RunOnce\Setup
RunOnce\Setup 指定了用户登录之后运行的程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

（7）Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

（8）windows中加载的服务

这里加载的服务具有最高的优先级

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
这里面的Start键的值确定了服务的启动状态：2表示自动运行，3表示手动运行，4表示禁止

（9）Windows Shell
Windows Shell 位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下面的Shell字符串类型键值中，默认值为Explorer.exe

（10）BootExecute——属于启动执行的一个项目
系统通过它来实现启动Native程序，Native程序在驱动程序和系统核心加载后将被加载，此时会话管理器（smss.exe）进行Windows NT用户模式并开始顺序启动Native程序。
它位于注册表中 HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager 下，有一个BootExecute键，用于系统启动时的某些自动检查。这个启动项里的程序是在系统图形界面完成前就被执行的，具有很高的优先级。

（11）组策略加载程序

在“运行”对话框输入“Gpedit.msc”打开组策略，展开“用户配置”->“管理模板”->“系统”->“登录”，就可以看到用户设置的登录时运行的项目。另外在注册表中 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\GroupPolicy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 也可以看到相对应的键值。

时常关注以上启动项，对自己的电脑安全负责。