病毒就是一般程序,在入侵别人计算机后,如果不运行,就没有任何意义。为了能让病毒程序能够随计算机开机启动,今天就来介绍一下通过注册表实现开机启动任意程序。首先,介绍一下注册表。
注册表就像windows系统中的一个数据库,保存着系统的各种配置。比如:开机的启动方式,各种后缀名文件的默认图标显示,禁用USB端口等,这些功能的实现都可以通过注册表实现设置。
有关注册表的介绍可以参见以下教程:
446K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3M7X3g2W2j5Y4g2X3i4K6u0W2j5$3!0E0i4K6u0r3j5i4u0@1K9h3y4D9k6i4y4Q4x3V1k6K6P5i4y4@1k6h3#2Q4x3V1j5J5y4e0j5I4x3K6m8Q4x3X3g2Z5N6r3#2D9
6f9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3M7X3g2W2j5Y4g2X3i4K6u0W2j5$3!0E0i4K6u0r3j5i4u0@1K9h3y4D9k6i4y4Q4x3V1k6W2M7#2)9J5c8U0p5&6z5o6b7@1x3q4)9J5k6h3S2@1L8h3H3`.
本文的重点来了,利用注册表启动的原理:windows提供了专门的开机自启动注册表。在每次开机完成后,计算机会自动遍历自启动注册表下的键值,获取键值中的程序路径,并创建进程启动程序。所以,要想修改注册表实现开机自启动,就需要在这个注册表键值下写入我们想要启动的程序的所在路径。
有两个比较常用的实现开机自启动的注册表键值如下:
HKEY_CURRENT_USER\Software\Mircosoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
主要就是根键不相同。当然了,还有一个不常用的:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
如果在这个键值下写入程序路径,系统会在下次开机后自启动一次。
我们可以通过API编程在以上三个注册表键下写入要启动的程序路径即可实现开机自启动。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
Xenophon 这都是基本知识。你的例子在 RegSetValueEx 成功时没调用 RegCloseKey,存在资源泄漏。
jinthree 请问有些病毒对注册表加密修改IE主页,用搜索找不到内容,有什么好办法吗?
