后门 | 自启动程序的十大藏身之所

后门 | 自启动程序的十大藏身之所
2023-4-13 08:31:31 Author: 潇湘信安(查看原文) 阅读量:95 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

一、当前用户专有的启动文件夹

这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的，用户启动文件夹一般在：

C:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动C:\Users\<用户名字>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

二、对所有用户有效的启动文件夹

这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的程序总是自动启动，这是它与用户专有的启动文件夹的区别所在，该文件夹一般在：

C：\Documents and Settings\All Users\「开始」菜单\程序\启动

三、Load注册键

介绍该注册键的资料不多，实际上它也能够自动启动程序，位置：

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load

四、Userinit注册键

这里也能够使系统启动时自动初始化程序，通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”（不含引号），位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

五、Explorer\Run注册键

和load、Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

六、RunServicesOnce注册键

RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序，RunServicesOnce注册键的位置是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

七、RunServices注册键

RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前，RunServices的位置是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

八、RunOnce\Setup注册键

RunOnce\Setup指定了用户登录之后运行的程序，它的位置是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SetupHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup

九、RunOnce注册键

安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE下面的RunOnce键，会在用户登录之后立即运行程序，运行时在其他Run键指定的程序之前。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

十、Run注册键

Run是自动运行程序最常用的注册键，HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前，位置在：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

关注有礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，“2191”潇湘信安文章打包，“1212”杀软对比源码+数据源，“0421”Windows提权工具包。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247502790&idx=2&sn=e33de89b9c677535612c51c7de841f51&chksm=cfa56fd5f8d2e6c32dc7b9021880e8b7ee8d965704ca5311de7049a74102dda3805584c5b191#rd
如有侵权请联系:admin#unsafe.sh