自启动
- Run:每一次随着开机而启动。
- RunOnce:只作用一次,执行完毕后自动删除
用户级
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SetupHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load系统级
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SetupHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceImage File Execution Options
映像劫持
启动目标程序时,启动的是劫持后的程序而不是原来的程序。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option添加一个名为目标进程的项,这个项中添加debugger键,键值为劫持程序。
SilentProcessExit
当ReportingMode为1的情况下,被监控进程结束时系统会执行MonitorProcess指定的程序。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit添加一个名为目标进程的项,这个项中添加MonitorProcess键,键值为劫持程序;添加ReportingMode键,键值为1。
MinimumStackCommitInBytes
将MinimumStackCommitInBytes设定为足够大的值可以让指定程序因堆栈溢出而崩溃。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\【目标进程】\MinimumStackCommitInBytes计划任务
层级信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree若index为0,则在taskschd.msc中不可见。
任务详情
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks重启后删除文件
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations每个操作由一对字符串组成:
- 第一个字符串是源文件或目录的路径。
- 第二个字符串是目标文件或目录的路径(如果是删除操作,则为空)。
例如:
\??\C:\OldFile.txt\??\C:\NewFile.txt表示将 C:\OldFile.txt 重命名为 C:\NewFile.txt。