一： 注册表相关

===============================================

有部分程序可以将自身在注册表加载的位置进行隐藏，常见的操作有两种方式：

1、对指定的注册表分支、键值设置权限(Acls)导致当前用户无权查看这些分支、键值的内容，自然无法获取病毒信息了。

2、使用超长的分支、键值名字，让注册表程序无法正常显示这些内容。

在XP/2K中存在一个长字符串缺陷：

有部分恶意程序还能破坏注册表某些键值的设定工作，比如将正常的REG_DWORD键值删除，伪造一个图标样式(键值显示有两种图标)的不是REG_DWORD的键值，这样原来的设置就不能读到正确格式的键值，也就不能正常工作了。

==================================

1、Load注册键

介绍该注册键的资料不多，实际上它也能够自动启动程序，位置：HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Current Version\Windows

建一个字符串名为load键值，为自启动程序的路径但是要注意短文件名规则，如c:\program files 应为c:\progra~1，这种方式用优化大师看不到。

据说建立run=键值也是可行的，需要注意没有测试过。

其实应该是windows.ini,和system.ini两个文件对应的run。不过好像在98有用把，具体就不多累赘，

至今没发现过这类病毒加载到这里面的，估计是没什么用处吧，不过提下也无妨。

2、Winlogon\Userinit注册键

存放位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

找到“Userinit”这个键值，这个键值默认为c:\WINNT\system32\userinit.exe，后面加逗号，再加路径。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,vitas.exe”（不含引号）。

注意下面的Notify、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。

3、Explorer\Run注册键

和load、Userinit不同，Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。

------------------------------

（下面4--7其实也很常见了，不过提出来，因为部分管理员还是会忽视这几个地方的。）

4、RunServicesOnce注册键

RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序，RunServicesOnce注册键的位置是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。

5、RunServices注册键

RunServices指定的程序紧接RunServicesOnce指定的程序后运行，两者都在用户登录之前，位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRunServices；

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。

6、RunOnceSetup注册键

RunOnceSetup指定了用户登录之后运行的程序，它的位置是：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup；

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup。

7、RunOnce注册键

安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。

HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时间在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。

--------------------------------------------------

==================

==================

（下面这里强调一点 应该是最容易忽视的，很多杀软是查不出的）

9、Image File Execution Options下的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的注册表项，项名为A.exe（A这里是通配符，下面B一样，就是对应你的应用程序名字，比如360safe.exe），然后在下面新建一个字符串，字符串名为Debugger，字符串值就是程序B.exe的全路径。这个是针对系统可以设置每个程序指定的纠错程序来实现的。让我感到意外的是A.exe不用指明路径！

（或许默认不指名系统会直接找到对应程序名的路径，不过很多病毒都自己写上去了，也就是镜像劫持，　也就是为什么很多人说双击杀毒软件什么的都打不开，病毒很多就在这里做文章）

10、开始菜单启动组 

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到相应的文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，键名为Startup。 

--------------------------

（这里提示下，startup 文件，系统默认有个账户，再docoument...下面的，对应个账户名字文件夹，其中有一个默认的他里面也可以加载的，但你自己的用户下面的开始/程序/ 启动那里是看不到的，不过这类病毒还是比较少的，估计是觉得他太暴露了，不过还是有些隐蔽的，很多管理员都会忽视）

                  =============================================

                    下面几项中都是比较少见到的，大家多多留意了

                  =============================================

11、Winlogon\shell 

在以下键值位置：

HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon；

里面的shell建值在Explorer.exe的后面加上我们程序的路径 这样我们的程序就可以随系统启动了。

12、COMMAND的AUTORUN

利用CMD.EXE的autorun：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下面建一个字串AUTORUN，值为要运行的.bat或.cmd文件的路径，木马可以加载在AUTORUN键值下。这样在运行CMD命令的时候一起加载运行。

注意： 

1、如果需要运行.dll文件，则需要特殊的命令行： 

例如：

Rundll32.exe C:\WINDOWS\FILE.DLL,Rundll32 

2、解除这里相应的自启动项只需删除该键值即可，但注意不要删除系统键值。

3、如果只想不启动而保留键值，只需在该键值加入rem即可： 

“rem   C:\Windows\vitas.exe” 

13、System\Shell

存放位置：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 

键值名称：Shell，下面的数据为启动文件名。

14、System\Scripts下Logoff(Logon)键值

注意以下分支的Logoff(Logon)键值可能加载文件：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts；

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts。

（也就是对应的组策略里面的系统启动注销时加载的程序，你可以用gpedit.msc修改）

---------------------------------

（这里强调点，卡巴也会在这里写入，不过好像是中文版本的有，经过汉化的，我的kis6.0.2.614版本没有写入，这里是空，具体的你要看看自己的，但不能保证是不是病毒--所以不要误判，可以查看卡巴官方的介绍，或者咨询他们下，我的没有写入，就不多说）

15、AppInit_DLLs键值

在以下位置：

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\WINDOWS，

有一个键值APPINIT_DLLS，一些DLL木马可以在这个位置上直接加载，这种方式加载的木马无法在任务管理器中看到。如求职信病毒就是让系统执行DllMain来达到启动木马的目的，因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

--------------------

（这里说下，下面这个应该是系统磁盘扫描程序的，也就是你不正常关机的时候会有蓝色界面问你是否要进行扫描的，这个满聪明的，一开始我也没想到能从这里启动，呵呵，现在很多杀软也查不出的）

16、bootexecute键值

在以下位置：

HKLM\SYSTEM\CONTROLSET001\SESSION MANAGE下面，有一个名为bootexecute的多字符键值，默认数值是：autocheck autochk*。

17、Winlogon\Notify

位置：

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY，

此处位置也需要特别的留意。 

这里常常是dll库文件启动的地方，

那些hook注入就是注入到winlogon,我的对应下面有2个（igfxcui，klogon），一些系统工具是直接删除的， 因为这些都是早于系统启动的，dll文件系统还可以为他隐藏，所以你很难用一些icesword等程序结束的，只能自己手动修改。

18、RunOnceEx

XP操作系统，还需要检查一下

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

19、Explorer\shell folders和user shell folder

以下四个键值位置需要注意：

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS;

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\User shell folder

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\User shell folder

20、ShellServiceObjectDelayLoad

以下注册表分支：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

下可能有可疑键值。

此篇文章转载自CSDN博主xHydra 

链接：https://blog.csdn.net/xhydra/article/details/40576753