注册表 Run 键/Startup 文件夹

在注册表"run 键"或"Startup "文件夹中的中添加条目，在用户登录时将执行该条目引用的程序。这些程序将在用户的上下文中执行，并具有帐户的相关权限级别。

在 Windows 系统上默认创建以下 run 键： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx 也可用，但在 Windows Visa 及后续版本中默认不创建。注册表 run 键的条目可以直接引用程序或将它们作为依赖项列出。例如，可以使用 RunOnceEx 的"Depend"键在登录时加载 DLL: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\temp\evil[.]dll"

以下注册表项可用于设置启动文件夹项以便保存： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

攻击者可以使用这些配置位置来执行恶意软件，比如远程访问工具，通过重新引导系统来维护持久性。攻击者也可以使用伪装技术，使注册表项看起来像是与合法程序相关联的。

缓解

在适当的情况下，使用诸如 AppLocker 或软件限制策略 等白名单 工具识别和阻止可能通过 run 键或 startup 文件夹持久性执行的潜在恶意软件。

检测

监视注册表中与已知软件、补丁周期等不相关的 run 键的更改。监视开始文件夹的添加或更改。诸如 Sysinternals Autoruns 之类的工具也可以用于检测尝试建立持久性导致的系统更改，包括列出 run 键的注册表位置和 startup文件夹。 当与历史数据相对比时，可疑程序作为启动程序的执行可能会作为未见过的的异常进程出现。

在安装合法软件时，通常会在正常情况下对这些位置进行更改。为了增加恶意活动的可信度，不应孤立地看待数据和事件，而应将其视为可能导致其他活动的行为链的一部分，例如用于命令与控制的网络连接、通过披露了解环境细节以及横向移动。­