當(dāng)Windows完成登錄過程，鼠標(biāo)指針從繁忙到安靜，除桌面上的圖標(biāo)，你還看到了什么？也許表面沒什么變化，但你有沒有注意到，你的系統(tǒng)托盤區(qū)多出了許多圖標(biāo)，你的進(jìn)程表中出現(xiàn)了很多的進(jìn)程！Windows在啟動的時候，自動加載了很多程序，你知道它們是在什么地方被加載的嗎？

許多程序的自啟動，給我們帶來了很多方便，這是不爭的事實，但是否每個自啟動的程序?qū)ξ覀兌加杏媚兀扛跽撸苍S有病毒或木馬在自啟動行列，而你卻不知！

到現(xiàn)在，你是不是覺得了解自啟動文件的藏身之處有必要呢？那好，下面我就一一指出，讓它們無外可藏！

其實Windows2000/XP中的自啟動文件，除了從以前系統(tǒng)中遺留下來的Autoexec.bat文件中加載外，按照兩個文件夾和9個核心注冊表子鍵來自動加載程序的。

1）“啟動”文件夾－－最常見的自啟動程序文件夾。它位于系統(tǒng)分區(qū)的“Documents and Settings－－>User－－>〔開始〕菜單－－>程序”目錄下。這時的User指的是你登錄的用戶名。

2）“All Users”中的自啟動程序文件夾－－另一個常見的自啟動程序文件夾。它位于系統(tǒng)分區(qū)的“Documents and Settings－－>All User－－>〔開始〕菜單－－>程序”目錄下。前面提到的“啟動”文件夾運行的是登錄用戶的自啟動程序，而“All Users”中啟動的程序是在所有用戶下都有效（不論你用什么用戶登錄）。

3）“Load”鍵值－－一個埋藏得較深的注冊表鍵值。位于〔HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload〕主鍵下。

4）“Userinit”鍵值－－它則位于〔HKEY_LOCAL_MacHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit〕主鍵下，也是用于系統(tǒng)啟動時加載程序的。一般情況下，其默認(rèn)值為“userinit.exe”，由于該子鍵的值中可使用逗號分隔開多個程序，因此，在鍵值的數(shù)值中可加入其它程序。

5）“ExplorerRun”鍵值－－與“l(fā)oad”和“Userinit”兩個鍵值不同的是，“ExplorerRun”同時位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個根鍵中。它在兩個中的位置分別為〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicIEsExplorerRun〕和〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun〕下。

6）“RunServicesOnce”子鍵－－它在用戶登錄前及其它注冊表自啟動程序加載前面加載。這個鍵同時位于〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce〕和〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce〕下。

7）“RunServices”子鍵－－它也是在用戶登錄前及其它注冊表自啟動程序加載前面加載。這個鍵同時位于〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices〕和〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices〕下。

8）“RunOnceSetup”子鍵－－其默認(rèn)值是在用戶登錄后加載的程序。這個鍵同時位于〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup〕和〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup〕下。

9）“RunOnce”子鍵－－許多自啟動程序要通過RunOnce子鍵來完成第一次加載。這個鍵同時位于〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce〕和〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce〕下。位于〔HKEY_CURRENT_USER〕根鍵下的RunOnce子鍵在用戶登錄扣及其它注冊表的Run鍵值加載程序前加載相關(guān)程序，而位于〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在操作系統(tǒng)處理完其它注冊表Run子鍵及自啟動文件夾內(nèi)的程序后再加載的。在Windows XP中還多出一個〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEX〕子鍵，其道理相同。

10）“Run”子鍵－－目前最常見的自啟動程序用于加載的地方。這個鍵同時位于〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun〕和〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun〕下。其中位于〔HKEY_CURRENT_USER〕根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動，但兩個鍵值都是在“啟動”文件夾之前加載。

11）再者就是Windows中加載的服務(wù)了，它的級別較高，用于最先加載。其位于〔HKEY_LOCAL_MACHINESystemCurrentControlSetServices〕下，看到了嗎，你所有的服務(wù)加載程序都在這里了！

12）Windows Shell──它位于〔HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon〕下面的Shell字符串類型鍵值中，基默認(rèn)值為Explorer.exe，當(dāng)然可能木馬程序會在此加入自身并以木馬參數(shù)的形式調(diào)用資源管理器，以達(dá)到欺騙用戶的目的。

13）BootExecute──它位于注冊表中〔HKEY_LOCAL_MACHINESystemControlSet001Session Manager〕下面，有一個名為BootExecute的多字符串值鍵，它的默認(rèn)值是'autocheck autochk *'，用于系統(tǒng)啟動時的某些自動檢查。這個啟動項目里的程序是在系統(tǒng)圖形界面完成前就被執(zhí)行的，所以具有很高的優(yōu)先級。

14）策略組加載程序——打開Gpedit.msc，展開“用戶配置——管理模板——系統(tǒng)——登錄”，就可以看到“在用戶登錄時運行這些程序”的項目，你可以在里面添加。在注冊表中[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects本地UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]你也可以看到相對應(yīng)的鍵值。