王晓平

齐齐哈尔高等师范专科学校，黑龙江齐齐哈尔 161005

0 引言

自启动技术是保证恶意代码传播和侵害的关键技术。该技术保证了恶意代码能够在受害主机中存活并正常工作。为保证恶意代码能够在计算机系统开机或重新启动时能够自动加载运行，恶意代码利用了很多操作系统的特性。比如修改注册表，很多恶意代码通过修改注册表中run、runservice等的键值，实现自启动；也有的恶意代码修改系统配置文件达到自动启动，如win.ini、system.ini文件等。归纳起来，恶意代码的自启动方式主要有以下几种：利用windows启动菜单启动、通过服务启动、通过文件关联启动、通过修改系统配置文件启动、通过添加注册表启动项启动、作为其他程序插件启动、通过文件绑定方式启动等。下面就各种自启动的方式进行一下分析。

1 恶意代码常用的自启动技术

1.1 利用windows启动菜单启动

在“开始”→“程序”→“启动”菜单里面添加应用程序或者应用程序的快捷方式，可以实现应用程序在windows启动时的自动启动。这是Windows最方便也是最简单的启动方式，一些恶意代码就是利用了该种启动方式，实现恶意代码的自动运行，但是，该种方式容易被用户发现，因此现在恶意代码一般都不会采用这种启动方式。这样的启动手法。

1.2 通过服务启动

Windows服务是随操作系统启动的程序，其在后台运行，一般不与用户发生交互。是系统核心的重要组成部分，如DNS客户端、打印程序、Windows更新服务、计划任务、Windows时间服务等服务等各种操作都依靠他的支持。其后台运行以及随操作系统启动的特性，经常被恶意代码的制造者用来加载恶意代码程序。将恶意代码注册成服务，恶意代码就可以达到在每次系统启动的时候完成自动加载的目的。作为一种有效的恶意代码的加载方式，目前仍被一些恶意程序利用。如臭名昭著的“灰鸽子”就是采用将自身注册成Windows服务的方式启动的。

通过服务来启动的恶意代码程序,可以通过查看“服务”来找到。其注册表的位置是:HKEY_LOCAL_MACHINESystem CurrentControlSetServices，我们也可以通过查看该注册表项的方式检查是否有恶意代码通过该方式启动。

1.3 通过文件关联启动

所谓文件关联是指Windows在打开某种类型文件时的默认方式，如默认文本与文本文件关联的程序是“记事本”程序，当我们双击文本文件时，Windows就会运行“记事本”程序对该文本文件进行编辑。文件关联是通过注册表项实现的，恶意代码可以利用Windows的这种关联机制，通过修改相关的注册表项实现恶意代码的启动。例如，将文本文件的默认关联程序“记事本”程序，改为把某个恶意代码程序，这样只要用户打开文本文件，就会启动该代码达到恶意加载的目的。该方式的局限性在于，恶意代码不是随系统一同启动，而是需要在用户运行相应类型的文件时才会被启动。

1.4 通过修改系统文件配置启动

利用windows的系统配置文件启动，也是恶意代码启动的一种重要方式。Windows系统配置文件主要就是指几个扩展名是INI的文件，在Windows系统中，有很多INI文件，其中最主要的是“System.ini”、“System32.ini”和“Win.ini”。这些文件主要用来存放用户对操作系统或特定程序运行所做的参数设置。

Windows用户可以通过修改INI文件，对应用程序和系统进行重新配置。许多恶意代码就是利用了这几个文件来加载的，如：在WIN.INI中加入load=A.exe或run=B.exe，该方式因其隐蔽性好、植入方便，曾被广泛的应用。如今该种方式已被用户熟知，发现后查杀难度较低。因此，使用者越来越少。

1.5 通过添加注册表启动项启动

有些恶意代码是通过添加注册表启动项，实现自动启动的目的。如在注册表“HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun” 和“HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRun”这2个分支下添加启动项，在右边窗口新建键值，输入要运行的程序名称及路径，从而实现恶意代码的自动启动。

1.6 通过文件绑定方式启动

文件绑定就是把恶意代码与可执行程序合并成一个可执行程序，在新程序执行时，原来的程序和恶意代码都被执行。如果恶意代码利用这种方式，把自己和qq.exe绑定在一起取代原来的qq.exe文件，那么每次用户运行qq.exe的时候都会启动恶意代码。

1.7 驱动程序启动方式:

应用程序通过动态加载的VXD虚拟设备驱动,而取得Windows系统的操控权。可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序，使得几个应用程序可以同时使用这些资源。有些恶意代码将自己伪装成硬件的驱动程序,从而达到启动的目的。

1.8 以windows服务方式启动

这种方式目前已经少有病毒见到，但作为一种行之有效的启动方式，仍被以些病毒采用。这种启动方式的病毒，我们可以通过“开始→控制面板→管理工具→服务”来查看。一般通过这种方式启动的病毒服务状态都是“自动”和“已启动”状态的，我们可以通过修改其状态为“已停止”和“禁用”来停止病毒服务，并且，在该服务的“属性”中有此病毒程序的路径及名称，我们可以在此路径下删除病毒文件即可杀灭病毒。

2 结论

自启动技术是恶意代码入侵的重要手段，了解和掌握恶意代码的启动与入侵技术，对于保护信息系统安全是十分重要的。可以预见，随着计算机技术的普及，系统被恶意代码入侵的风险和机会会急剧增多。要完全避免安全事件的发生并不太现实，网络安全人员所能做到的只能是尽力发现和察觉入侵及入侵企图，以便采取有效的措施来堵塞漏洞和修复系统。因此，及时的了解和掌握恶意代码的自启动技术，是发现和预防信息安全事故发生的前提和保证。

[1]侯丽波.恶意代码攻击原理剖析[J].网络安全技术与应用，2008（12）.

[2]郝向东，王开云.典型恶意代码及其检测技术研究[J].计算机工程与设计，2007（19）.

[3]张勐，杨大全，辛义忠.计算机病毒变形技术研究[J].沈阳工业大学学报，2004（3）.