如何读取系统中所有启动装载项（XP和Vista）(100)

尝试过，但总是读不完全。谢谢~

你安一个卡卡,看一看它都读了那些键值.

WINDOWS自启动大全一.自启动项目:开始---程序---启动,里面添加一些应用程序或者快捷方式.这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.路径:C:/Documents and Settings/Owner/「开始」菜单/程序/启动二. 第二自启动项目:这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录，将所需要启动的文件拖放进去就可以达到启动的目的.路径:C:/Documents and Settings/User/「开始」菜单/程序/启动三. 系统配置文件启动:对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.1)WIN.INI启动:启动位置(xxx.exe为要启动的文件名称):[windows]load=xxx.exe[这种方法文件会在后台运行]run=xxx.exe[这种方法文件会在默认状态下被运行]2)SYSTEM.INI启动:启动位置(xxx.exe为要启动的文件名称)：默认为:[boot]Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]可启动文件后为:[boot]Shell= Explorer.exe xxx.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe xxx.exe换为Shell=xxx.exe,这样会使Windows瘫痪!3) WININIT.INI启动:WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.它会在系统装载Windows之前让系统执行一些命令，包括复制，删除，重命名等，以完成更新文件的目的.文件格式:[rename]xxx1=xxx2意思是把xxx2文件复制为文件名为xxx1的文件，相当于覆盖xxx1文件如果要把某文件删除,则可以用以下命令:[rename]nul=xxx2以上文件名都必须包含完整路径.4) WINSTART.BAT启动: 这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.如：“@if exist C:/WINDOWS/TEMPxxxx.BAT call C:/WINDOWS/TEMPxxxx.BAT”这里是执行xxxx.BAT文件的意思5) USERINIT.INI启动[2/2补充]:这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.6) AUTOEXEC.BAT启动:这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.四. 注册表启动:通过注册表来启动,是WINDOWS中使用最频繁的一种.-----------------------------------------------------------------------------------------------------------------HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/HKEY_LOCAL_MACHINE/System/ControlSet001/Session Manager/BootExecuteHKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager/BootExecuteHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/本地User/Software/Microsoft/Windows/CurrentVersion/Policies/ Explorer/RunHKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLsHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/NotifyHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceExHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Run/HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/HKEY_CURRENT_USER/Control Panel/DesktopHKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Session ManagerHKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/UserinitHKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad/HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/loadHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/run/HKLM/SOFTWARE/Classes/Protocols/FilterHKLM/SOFTWARE/Classes/Protocols/HandlerHKLM/SOFTWARE/Microsoft/Active Setup/Installed ComponentsHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskSchedulerHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoadHKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooksHKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/ApprovedHKLM/Software/Classes/Folder/Shellex/ColumnHandlersHKCU/Software/Microsoft/Internet Explorer/UrlSearchHooksHKLM/Software/Microsoft/Internet Explorer/ToolbarHKLM/Software/Microsoft/Internet Explorer/ExtensionsHKLM/System/CurrentControlSet/Control/Session Manager/BootExecuteHKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution OptionsHKLM/System/CurrentControlSet/Control/Session Manager/KnownDllsHKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHostHKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/NotifyHKCU/Control Panel/Desktop/Scrnsave.exeHKLM/System/CurrentControlSet/Services/WinSock/Parameters/Protocol_Catalog9HKLM/SYSTEM/CurrentControlSet/Control/Print/MonitorsHKLM/SYSTEM/CurrentControlSet/Control/Lsa/Authentication PackagesHKLM/SYSTEM/CurrentControlSet/Control/Lsa/Notification PackagesHKLM/SYSTEM/CurrentControlSet/Control/Lsa/Security Packages五.其他启动方式1).C:/Explorer.exe启动方式:这种启动方式很少人知道.在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.搜索顺序如下：(1).　　搜索当前目录.(2).　　如果没有搜索到Explorer.exe则系统会获取[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]的信息获得相对路径.(3).　　如果还是没有文件系统则会获取[HKEY_CURRENT_USER/Environment/Path]的信息获得相对路径.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Executive/Path]和[HKEY_CURRENT_USER/Environment/Path]所保存的相对路径的键值 为:“%SystemRoot%System32;%SystemRoot%”和空.所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是1).　　%SystemDrive%(例如C:/)(2).　　%SystemRoot%System32(例如C:/WINNT/SYSTEM32)(3).　　%SystemRoot%(例如C:/WINNT)此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.(2).屏幕保护启动方式:Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% xxxx.scr这种启动方式具有一定危险.(3).计划任务启动方式:Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.(4).AutoRun.inf的启动方式:Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.Autorun.inf的内容通常是：[AUTORUN]OPEN=文件名.exeICON=icon(图标文件).ico1.如一个木马,为xxx.exe.那么Autorun.inf则可以如下:ōPEN=Windows/xxx.exeICON=xxx.exe这时,每次双击C盘的时候就可以运行木马xxx.exe.2.如把Autorun.inf放入C盘根目录里,则里面内容为:ōPEN=D:/xxx.exeICON=xxx.exe这时,双击C盘则可以运行D盘的xxx.exe(5).更改扩展名启动方式:更改扩展名: (*.exe)如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.六.Vxd虚拟设备驱动启动方式:应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序，使得几个应用程序可以同时使用这些资源.七.Service[服务]启动方式:[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).注册表位置:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.八.驱动程序启动方式:有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]06/3/11补充[来自peter_yu]:windir/Start Menu/Programs/Startup/User/Startup/All Users/Startup/windir/system/iosubsys/windir/system/vmm32/windir/Tasks/c:/explorer.exec:/autoexec.batc:/config.syswindir/wininit.iniwindir/winstart.batwindir/win.ini - [windows] "load"windir/win.ini - [windows] "run"windir/system.ini - [boot] "shell"windir/system.ini - [boot] "scrnsave.exe"windir/dosstart.batwindir/system/autoexec.ntwindir/system/config.nt06/3/25补充[来自smzd2005]:Folder.httdesktop.iniC:/Documents and Settings/用户名/Application Data/Microsoft/Internet Explorer/Desktop.htt06/8/1补充[本人补充(注册表启动方式)]:HKLM/SYSTEM/CurrentControlSet/Control/MPRServicesHKCU/ftp/shell/open/commandHKCR/ftp/shell/open/commandHKCU/Software/Microsoft/oleHKCU/Software/Microsoft/Command ProcessorHKLM/SOFTWARE/Classes/mailto/shell/open/commandHKLM/SOFTWARE/Classes/PROTOCOLSHKCR/PROTOCOLSHKCU/Control Panel/DesktopHKLM/SOFTWARE/Policies/Microsoft/Windows/System/scrīptsHKLM/SOFTWARE/Microsoft/Code Store Database/Distribution UnitsHKLM/SYSTEM/CurrentControlSet/Services/WinSock2HKLM/SYSTEM/CurrentControlSet/Control/LsaHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/RunHKLM/SOFTWARE/Microsoft/Active Setup/Installed ComponentsHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/App Management/ARPCacheHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoadHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTaskSchedulerHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooksHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell FoldersHKLM/Software/Microsoft/Windows/CurrentVersion/explorer/Shell folders/StartupHKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/runServicesHKLM/Software/Microsoft/Active Setup/Installed ComponentsHKCU/Software/Microsoft/Windows NT/CurrentVersion/WindowsHKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows06/8/6补充[本人补充(注册表启动方式)]:HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution OptionsHKLM/System/CurrentControlSet/Control/Session Manager/KnownDllsHKLM/SOFTWARE/Classes/Protocols/HandlerHKLM/System/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/StartupProgramsHKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell

晕，有这么多，不知道有没有现成的例程啊

学习

你用注册表啊，在USES里面添加：registry;procedure TForm1.Button1Click(Sender: TObject);var reg:Tregistry;beginreg:=Tregistry.create;reg.rootkey:=HKEY_LOCAL_MACHINE;reg.openkey('software/microsoft/windows/currentversion/run',false);reg.getvaluenames(listbox1.items)end;end.end;end.

用API穷举当前正在运行的进程就可以了

怎么还不结贴啊？

多人接受答案了。