【笔记】Windows开机自启管理

发表于 更新于 阅读次数:

前言

Windows开机自启管理

将开机自启程序放到启动文件夹下

  • 将开机自启程序放到开始菜单\启动文件夹下

手动管理启动文件夹

系统级

  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

用户级

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\

通过任务管理器管理启动文件夹

Windows10

  • 运行msconfig->启动

  • 任务管理器->启动

Windows11

  • 任务管理器->启动应用

通过系统设置管理启动文件夹

Windows10

  • 设置->应用->启动

Windows11

  • 设置->应用->启动

通过注册表创建开机自启项目

系统登录前启动

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    • 修改值Shell的数据explorer.exe,后追加CMD命令
    • 修改值Userinit的数据C:\Windows\system32\userinit.exe,后追加CMD命令

系统登录后启动

  • 启动项的顺序是根据注册表中字符串值的名称正序决定的,默认值为第一个
系统级

  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\新建字符串值,数据为CMD命令

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\新建字符串值,数据为CMD命令

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService\新建字符串值,数据为CMD命令
用户级
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\新建字符串值,数据为CMD命令

映像劫持

  • 系统关键程序

explorer.exeloginui.exemmc.exenotepad.exeregedit.exemsconfig.exeshutdown.exetaskkill.exetaskmgr.exeuserinit.exewinload.exewinlogon.exe

在系统关键程序启动时不执行该程序而是执行其他程序

  • 也可以执行这个程序并顺表执行其他程序

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,创建项explorer.exe,创建字符串值Debugger数据为CMD命令

<cmd>:可执行程序或CMD命令

1
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /t REG_SZ /d "<cmd>"
在系统关键程序正常启动完成并关闭后执行其他程序

<cmd>:可执行程序或CMD命令

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,创建项explorer.exe,创建DWORD串值GlobalFlag数据为十进制的512
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit,创建项explorer.exe
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe,创建DWORD串值ReportingMode数据为1
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe,创建字符串值MonitorProcess数据为CMD命令
1
2
3
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe" /v MonitorProcess /d "<cmd>"

通过篡改系统关键文件以实现开机自启项目

  • C:\Windows\System32\winlogon.exe
  • C:\Windows\System32\logonui.exe
  • C:\Windows\System32\lsass.exe

通过服务实现自启项目

1
sc create <service_name> binpath="<file>.exe" start=auto

通过win.ini配置文件实现开机自启项目

  • C:\Windows\win.ini配置文件中添加RUN=需要自启动程序的绝对路径键值对

  • C:\Windows\win.ini配置文件中添加LOAD=需要自启动程序的绝对路径键值对

通过篡改屏幕保护实现自启项目

  • 传送门

  • HKEY_CURRENT_USER\Control Panel\Desktop修改值SCRNSAVE.EXE数据为C:\Windows\System32\scrnsave.scr

<exe>:可执行程序,可以是.exe程序

1
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "<exe>" /f

完成

参考文献

西瓜视频——爱比较
西瓜视频——爱比较
西瓜视频——爱比较
西瓜视频——爱比较
西瓜视频——爱比较
3000soft