程序代码 HotKeySet("!{F4}", "Nothing")
sleep(10000)
Func Nothing()
EndFunc
sleep(10000)
Func Nothing()
EndFunc
原理就是将ALT+F4热键定义为空白,十称后退出程序,只是在加载进开机批处理的时候发觉运行优先级低于PUBWIN,没法子只好百度了一下,把程序加进USERINIT里与PUBWIN同时运行。
附百度找到的加载开机启动项的多种方法:
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。
二、对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。
三、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则,输入的路径文件名是短文件名。如c:\program files 应为c:\progra~1
ps:这种方式用优化大师看不到
四、Userinit注册键
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。后面加路径,再加逗号也可以。
五、Shell注册键
HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径。比如我门的c:\windows\system32\下有个hehe.exe木马。
六、Autorun注册键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor,找到并双击“AutoRun”这项,然后将键值设置为需要启动的程序路径即可。
七、Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
八、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
九、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
十、RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
十一、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。
HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。
十二、RunOnceEx注册键
如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
十三、Run注册键
Run是自动运行程序最常用的注册键,位置在:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
十四、组策略方法
在“开始→运行”中键入“gpedit.msc”,启动“组策略”,展开“用户配置→管理模板→系统→登录”,
启用“在用户登录时运行这些程序”项,并单击“显示”按钮,添加某个程序,重新登录后该程序就会自动运行。
ps:这个启动项是注册表中找不到的。
十五、木马对文件关联的利用
具体说来,就是更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动。
举例来说,打开注册表,展开注册表到HKEY_CLASSES_ROOT\exefile\shell\open\command
这里是exe文件的打开方式,默认键值为:"%1" %*(有空格)。如果把默认键值改为Trojan.exe"%1" %*,您每次运行exe文件,这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式,
而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。
十六、木马对设备名的利用******
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。
具体方法是:点击“开始”菜单的“运行”,输入cmd.exe,回车进入命令提示符窗口,然后输入md c:con\命令,可以建立一个名为con的目录。默认请况下,Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux\命令,可以建立aux目录,输入md c:prn\可以建立prn目录,输入md c:com1\目录可以建立Com1目录,而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试,您会发现当我们试图打开以aux或com1命名的文件夹时,explorer.exe失去了响应,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护木马程序的目的。
最后语:启动顺序
RunServicesOnce》》RunServices》》用户登陆》》HKEY_LOCAL_MACHINE下面的RunOnce和RunOnce\Setup和RunOnceEx》》HKEY_LOCAL_MACHINE下面的Run》》HKEY_CURRENT_USER下面的Run》》系统“启动”文件夹》》用户“启动”文件夹》》HKEY_CURRENT_USER下面的RunOnce]]>
Flash动画
点击下载此文件