Wiidows的安装程序常常调用wininit.ini程序来实现安装程序后的删除工作，如果有什么病毒或木马程序在它上面做手脚的话，可以说是非常隐蔽、非常完美的! 在系统盘的Windows目录下，用记事本打开 (有时候是wininit.hak文件)可以看到相应的内容，我们可以在里面添加相应的语句来达到修改系统时候程序或者是删除程序的目的如果是文件关联型的木马，可以通过winint.ini来删除被病毒感染的原始文件，也就实现了病毒可以真正隐藏自己!

文件描述

Wininit文件工作机制(Wininit.ini文件的格式简述 应用)

采用Wininit.ini彻底杀除病毒

文件描述

用过Windows 9x的人都见过如下的提示信息：

Please wait while Setup updates your configuration files.

This may take a few minutes……

这是安装完某个软件或者硬件的驱动程序，应安装程序的要求重新启动Windows后的正常现象，绝不会把它与病毒联系起来，本文将用事实告诫你，如果你的机器启动时无缘无故地出现上述信息，就要赶紧去找最新的杀毒软件了！

这时Windows在干什么呢？实际上它在执行Wininit.ini给出的指令，Wininit.ini是一个鲜为人知的文件，主要用于删除、更名和更新在Windows运行时不能被施以这些操作的文件，它存在的时间很短，所以显得有点神秘。

Wininit文件工作机制

一、Wininit 文件工作机制

在 Windows 中，一个可执行文件如果正在运行或某个库文件（*. dll 、*.vxd、*.sys 等）正在被打开使用，则不能被改写或删除。例 如，你不可能在资源管理器中删除 Windows 的 Explorer.exe。而在 Windows 的 GDI 界面下，有一些文件一直处于这种状态下 ，除 Explorer.exe 外，还有显示驱动程序库文件、文件子系统库文件等 。 如果我们要对这些文件进行升级，改动，就必须在 Windows 保护模 式下进行，于是 Windows 就提供了基于 Wininit.ini 文件的一个机制 来完成这个任务 ，这个机制是 ，要删除或改写这类文件的应用程序 ， 按一定的格式把命令写入 Wininit.ini 。Windows 在重启时 ，将在 Windows 目录下搜索 Wininit.ini 文件，如果找到，就遵照该文件指 令删除、改名、更新文件，完成任务后 ，将删除 Wininit.ini 文件本 身，继续启动。所以 Wininit.ini 文件中的指令只会被执行一次，列 目录时也通常没有它的踪影 。

Wininit.ini文件的格式简述

Windows 95 Resource Kit提到Wininit.ini文件有三个可能的段，但只叙述了“rename”段的用法，虽然名为“rename”，却可实现删除、改名、更新文件的功能。其格式为：

[rename]

……

filename1=filename2

……

行“filename1=filename2”相当于依次执行“copy filename2 filename1”及“del filename2”这两个DOS命令。

启动时，Windows将用filename2覆盖filename1，再删除filename2，这就实现了用filename2与更新filename1的目的，如果filename1不存在，实际结果是将filename2改名为filename1；如果要删除文件，可令filename1为nul，例如：

[rename]

……

nul=filename2

……

将删除filename2。

以上文件名都必须包含完整路径，注意:由于Wininit.ini文件的处理是在Windows文件系统调入前，所以不支持长文件名。

应用

Wininit.ini的应用很多，除了经常在软硬件的安装程序中用到外，还有软硬件的卸载程序中用到，比如：假设你要为自己的软件编写一个卸载程序，这个卸载程序本身是不可能被自己删除的，因为它试图删除自身时，自身却正在运行。为了清除卸载程序本身，你就得借助于Wininit.ini文件。顺便提一句，在安装Windows的最后阶段，就是利用Wininit.ini文件来清除和更名被安装程序SETUP自身使用的文件。

采用Wininit.ini彻底杀除病毒

在Windows平台下杀病毒，会碰到类似问题。如何清除正在运行或处于打开状态的染毒文件中的病毒？了解了Wininit.ini文件的工作机制，我们可以这样来设计杀毒软件：在发现某个染毒文件因为正处于打开状态或执行状态而不能清除病毒时，可将其复制一份，并将复制品去毒。然后在Windows目录下创建一个Wininit.ini文件（创建之前要先查查Wininiti.ini文件是否存在），建立[rename]段，加入一行：染毒文件名=复制品文件名；继续清扫病毒，如果发现类似文件，可在[rename]下再添加一行即可，扫描完成后强烈建议用户重新启动或干脆强行重新启动，以便执行Wininiti.ini完成整个清毒过程。