一、前言

一般而言，木馬或病毒成功在服務(wù)器上運(yùn)行后，通過會(huì)做的一件事就是把自己添加進(jìn)開機(jī)啟動(dòng)項(xiàng)，以實(shí)現(xiàn)在目標(biāo)服務(wù)器上的持久化駐留。
要實(shí)現(xiàn)開機(jī)自啟動(dòng)，有幾種方法，有任務(wù)計(jì)劃、服務(wù)、注冊表等方式。任務(wù)計(jì)劃相對而言，較為明顯，很容易被管理員發(fā)現(xiàn)，而服務(wù)的話，不是通用的，比如在win10和win8上能直接生成的服務(wù)，在win7及以下操作系統(tǒng)中常常用不了。而最穩(wěn)妥的辦法就是通過修改注冊表來實(shí)現(xiàn)開機(jī)自啟了。這個(gè)方法的好處在于，適用于全版本的windows系統(tǒng)，所以最穩(wěn)。
有的人可能會(huì)有疑問，我又不是黑客，學(xué)這個(gè)干啥？其實(shí)很簡單，作為一名滲透測試人員，排查系統(tǒng)中存在的病毒木馬是必備的技能，很多病毒木馬都是做了免殺的，光靠殺毒軟件很難識(shí)別出來，因此就需要手動(dòng)去排查，而啟動(dòng)項(xiàng)則是排查的項(xiàng)目之一，因此只有了解它的攻擊手法，才能知道怎么把它清除干凈并做好防御措施。

二、修改注冊表的兩種方法

修改注冊表主要有兩種方法，一種是手動(dòng)在圖形化界面中修改，另一種是用命令行來操作，這需要對相關(guān)命令有一定的了解。接下來一一演示如下。

（一）手動(dòng)修改注冊表

首先在命令行中輸入：

regedit

打開注冊表后，定位到如下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以桌面上的1.exe文件為例，在run右側(cè)新建一個(gè)字符串值，名字任取，我這里設(shè)置為aaa。首先查看1.exe文件的路徑：

C:\Users\ASUS\Desktop\1.exe

然后雙擊aaa并修改它的值為：

"C:\Users\ASUS\Desktop\1.exe" /start

然后開啟任務(wù)管理器，在啟動(dòng)模塊中可以看到，1.exe已經(jīng)被添加進(jìn)開啟啟動(dòng)項(xiàng)。

（二）命令行修改注冊表

通過命令行修改注冊表的主要方法為用reg命令來改。
可以在命令行輸入以下命令查看幫助：

reg /?

我們需要用到的一個(gè)參數(shù)是：
reg add
這表示增加或修改。沒有的就增加，已有的就覆蓋（名稱及類型）。該命令的語法及參數(shù)的含義可以在命令行中輸入：

reg add /?

這里我們需要注意的地方有兩個(gè)，首先，路徑是要被雙引號(hào)包起來的，其次，雙引號(hào)后面有一個(gè)空格，空格后面才是/start參數(shù)。
構(gòu)造語句如下：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb /t REG_SZ /d "\"C:\Users\ASUS\Desktop\1.exe\" /start" /f

注意，/d參數(shù)后面的雙引號(hào)內(nèi)的全部內(nèi)容是表示要寫入bbb鍵的內(nèi)容，而由于該參數(shù)會(huì)識(shí)別雙引號(hào)，因此這里用了轉(zhuǎn)義。同時(shí)，空格也是被包含在雙引號(hào)內(nèi)的，因此不必再單獨(dú)處理。
注意修改注冊表最好以管理員身份運(yùn)行命令提示符，以免出現(xiàn)權(quán)限不夠的情況。

查看注冊表：

命令執(zhí)行成功！

三、查詢注冊表鍵值

用以下命令：

reg query

不知道該命令的語法怎么辦，沒關(guān)系，用以下命令查詢幫助：

reg query /?

利用該語法，我們可以查詢剛才生成的鍵值：

reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v bbb

四、小結(jié)

本文分享了兩種修改注冊表實(shí)現(xiàn)指定程序開啟自動(dòng)運(yùn)行的方法，同時(shí)分享了注冊表鍵值的查詢方法，希望對大家學(xué)習(xí)滲透測試有幫助。