爆几个微点没设防的自启动或被动启动

linwenwa

转自朋友：大馄饨

1.cmd运行前执行的程序(sysnap告知的) ——被动启动

HKEY_CURRENT_USER\Software\Microsoft\Command Processor

AutoRun             REG_SZ               "xxx.exe"

2.session manager——自启动

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

BootExecute         REG_MULIT_SZ           "autocheck autochk *

                                                                 xxx"

瑞星就来了一个bsmain，用来开机查毒

不过xxx.exe必须用Native API，不能用Win32API

3.屏幕保护程序——被动启动

HKEY_USERS\.DEFAULT\Control Panel\Desktop

SCRNSAVE.EXE     REG_SZ       "xxx.scr"

其实屏幕保护程序scr文件就是PE文件

——还有很多注册表项更改后，可以实现自启动，这里先写这几个，其他的去要测试。

另外，还有一个偷换控制面板文件来被动启动的方式，控制面板文件在C:\windows\system32\下

的.cpl文件，这个文件类似与dll文件。