一、前言

一般而言，木馬或病毒成功在服務器上運行后，通過會做的一件事就是把自己添加進開機啟動項，以實現在目標服務器上的持久化駐留。
要實現開機自啟動，有幾種方法，有任務計劃、服務、注冊表等方式。任務計劃相對而言，較為明顯，很容易被管理員發現，而服務的話，不是通用的，比如在win10和win8上能直接生成的服務，在win7及以下操作系統中常常用不了。而最穩妥的辦法就是通過修改注冊表來實現開機自啟了。這個方法的好處在于，適用于全版本的windows系統，所以最穩。
有的人可能會有疑問，我又不是黑客，學這個干啥？其實很簡單，作為一名滲透測試人員，排查系統中存在的病毒木馬是必備的技能，很多病毒木馬都是做了免殺的，光靠殺毒軟件很難識別出來，因此就需要手動去排查，而啟動項則是排查的項目之一，因此只有了解它的攻擊手法，才能知道怎么把它清除干凈并做好防御措施。

二、修改注冊表的兩種方法

修改注冊表主要有兩種方法，一種是手動在圖形化界面中修改，另一種是用命令行來操作，這需要對相關命令有一定的了解。接下來一一演示如下。

（一）手動修改注冊表

首先在命令行中輸入：

regedit

打開注冊表后，定位到如下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以桌面上的1.exe文件為例，在run右側新建一個字符串值，名字任取，我這里設置為aaa。首先查看1.exe文件的路徑：

C:\Users\ASUS\Desktop\1.exe

然后雙擊aaa并修改它的值為：

"C:\Users\ASUS\Desktop\1.exe" /start

然后開啟任務管理器，在啟動模塊中可以看到，1.exe已經被添加進開啟啟動項。

（二）命令行修改注冊表

通過命令行修改注冊表的主要方法為用reg命令來改。
可以在命令行輸入以下命令查看幫助：

reg /?

我們需要用到的一個參數是：
reg add
這表示增加或修改。沒有的就增加，已有的就覆蓋（名稱及類型）。該命令的語法及參數的含義可以在命令行中輸入：

reg add /?

這里我們需要注意的地方有兩個，首先，路徑是要被雙引號包起來的，其次，雙引號后面有一個空格，空格后面才是/start參數。
構造語句如下：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb /t REG_SZ /d "\"C:\Users\ASUS\Desktop\1.exe\" /start" /f

注意，/d參數后面的雙引號內的全部內容是表示要寫入bbb鍵的內容，而由于該參數會識別雙引號，因此這里用了轉義。同時，空格也是被包含在雙引號內的，因此不必再單獨處理。
注意修改注冊表最好以管理員身份運行命令提示符，以免出現權限不夠的情況。

查看注冊表：

命令執行成功！

三、查詢注冊表鍵值

用以下命令：

reg query

不知道該命令的語法怎么辦，沒關系，用以下命令查詢幫助：

reg query /?

利用該語法，我們可以查詢剛才生成的鍵值：

reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb

四、小結

本文分享了兩種修改注冊表實現指定程序開啟自動運行的方法，同時分享了注冊表鍵值的查詢方法，希望對大家學習滲透測試有幫助。