【病毒】惡意程式最常修改系統的哪些地方

[sai7sai]

惡意程式之所以能常駐在系統裡或改變系統設定，通常會修改下列幾個地方，以達到此目的。

• Autstart Registry Locations

1. 當使用者登入系統時，在這個機碼(key)下的的程式或Script會被自動執行起來：
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts

詳細的內容，請看http://malware-test.com/smf/index.php?topic=1117.0。

[cappella]

引用:

作者: sai7sai

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts

我找不到這兩個耶

[琥珀]

有些機碼預設不會有，但是會經由某些設定 (例如組策略) 自動產生。

[sai7sai]

引用:

作者: cappella

我找不到這兩個耶
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts

沒有使用Group Policy，是不會有這個機碼。這通常用於企業環境。

[LeeFred]

有用的資訊

[FYI]

Sysinternals Freeware - Autoruns