實際應急響應案例時，發(fā)現(xiàn)很多非常規(guī)的啟動項以及ARK工具未涵蓋的啟動項，故收集資料對注冊表有關的啟動項進行總結(jié)，以后處置病毒無從下手時可以考慮從啟動項排查。
1.Load注冊鍵
介紹該注冊鍵的資料不多，實際上它也能夠自動啟動程序。位置:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
2.Userinit注冊鍵
這里能夠使系統(tǒng)啟動時自動初始化程序。通常該注冊鍵下面有一個userinit.exe。這個鍵允許指定用逗號分隔的多個程序，例如“userinit.exe,OSA.exe”(不含引號)。
位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
3.Explorer-Run注冊鍵
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
4.RunServicesOnce注冊鍵
RunServicesOnce注冊鍵用來啟動服務程序，啟動時間在用戶登錄之前，而且先于其他通過注冊鍵啟動的程序。RunServicesOnce注冊鍵的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
5.RunServices注冊鍵
RunServices注冊鍵指定的程序緊接RunServicesOnce指定的程序之后運行，但兩者都在用戶登錄之前。RunServices的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
6.RunOnce\Setup注冊鍵
RunOnce\Setup指定了用戶登錄之后運行的程序，它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
7.RunOnce注冊鍵
安裝程序通常用RunOnce鍵自動運行程序，它的位置在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE下面的RunOnce鍵會在用戶登錄之后立即運行程序，運行時機在其他Run鍵指定的程序之前。HKEY_CURRENT_USER下面的RunOnce鍵在操作系統(tǒng)處理其他Run鍵以及“啟動”文件夾的內(nèi)容之后運行。如果是XP，你還需要檢查一下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
8.Run注冊鍵
Run是自動運行程序最常用的注冊鍵，位置在:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵運行，但兩者都在處理“啟動”文件夾之前。
9.Windows Shell──系統(tǒng)接口
位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下面的Shell字符串類型鍵值中，基默認值為Explorer.exe，當然可能木馬程序會在此加入自身并以木馬參數(shù)的形式調(diào)用資源管理器，以達到欺騙用戶的目的。
10.常用的啟動——系統(tǒng)配置文件
Windows的配置文件，包括Win.ini、System.ini和wininit.ini文件也會加載一些自動運行的程序
Win.ini文件
在[windows]段下的“Run=”和“LOAD=”語句后面就可以直接加可執(zhí)行程序，只要程序名稱及路徑寫在“=”后面即可。
System.ini文件
默認[boot]段下“shell=”的語句為“shell=Explorer.exe”，啟動的時候運行Windows外殼程序
explorer.exe，黑客可將該句變成“shell=病毒文件名.exe。
11.系統(tǒng)服務
位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，系統(tǒng)服務加載程序，其中netsvcs 是一組服務的集合（通過svchost 用來加載成組服務），不是單個的服務，具體哪些服務在 netsvcs 里，可以在注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
右邊的 netsvcs 值里查看，里面的不一定是當前都被加載了的，只是說它們?nèi)舯患虞d都劃歸在 netsvcs 組里，其中哪些服務正運行著，可和服務里的相應服務狀態(tài)對照著看。
12.windows 通過AppInit加載任意dll
windows操作系統(tǒng)允許將用戶提供的dll加載到所有的進程的內(nèi)存空間中。該功能可以用來做后門持久化。有點類似于linux的ld_preload環(huán)境變量。在進程啟動的時候，操作系統(tǒng)會將用戶提供的dll加載。在設置該功能時，需要administrator權限。設置方法為修改注冊表中兩個選項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\WindowsNT\CurrentVersion\Windows
微軟默認阻止用戶通過appinit功能去加載未知的dll。不過，可以通過修改注冊表鍵值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\LoadAppInit_DLLs為1去關閉該功能。將待加載的dll保存在Program Files文件夾，并且將AppInit_DLLs鍵值修改為待加載dll的路徑，即可讓所有windows進程都加載該dll。
這是因為在“ AppInit_DLLs”注冊表項中指定的DLL是由user32.dll加載的，幾乎所有應用程序都使用該user32.dll。文章來源地址http://www.zghlxwxcb.cn/news/detail-452186.html

到了這里，關于windows注冊表啟動項的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！