...Windowsの仕様メモ...
とりあえず備忘録程度にメモっておく。
情報源はどっかのBBSだったりサイトだったりですが転載するなと書いてあるもの以外は
さくさく載っけちゃってるんで文句がある方は言ってください。即削除します。
・起動時に読み込むもの(スタートアップ)
[ファイル]
(WindowsをCドライブにインストールしている場合)
C:\explorer.exe
C:\autoexec.bat
C:\config.sys
(Windowsのディレクトリ)\wininit.ini
(Windowsのディレクトリ)\winstart.bat
(Windowsのディレクトリ)\win.ini - [windows] "load"
(Windowsのディレクトリ)\win.ini - [windows] "run"
(Windowsのディレクトリ)\system.ini - [boot] "shell"
(Windowsのディレクトリ)\system.ini - [boot] "scrnsave.exe"
(Windowsのディレクトリ)\dosstart.bat
(Windowsのディレクトリ)\system\autoexec.nt
(Windowsのディレクトリ)\system\config.nt
[レジストリ]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD
HKEY_CURRENT_USER\Control Panel\Desktop
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_CLASSES_ROOT\vbsfile\shell\open\command
HKEY_CLASSES_ROOT\vbefile\shell\open\command
HKEY_CLASSES_ROOT\jsfile\shell\open\command
HKEY_CLASSES_ROOT\jsefile\shell\open\command
HKEY_CLASSES_ROOT\wshfile\shell\open\command
HKEY_CLASSES_ROOT\wsffile\shell\open\command
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\scrfile\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_Entries
HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
[ディレクトリ]
(Windowsのディレクトリ)\Start Menu\Programs\Startup User\Startup
All Users\Startup
(Windowsのディレクトリ)\system\iosubsys
(Windowsのディレクトリ)\system\vmm32
(Windowsのディレクトリ)\Tasks
・良く分からない仕様
実行ファイルのファイル名を以下のものにするととタスクマネージャーからでも強制終了できなくなる。
どうも最近のウイルスはこういう名前を使って自身を複製することが多いよう。
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe