惡意程式之所以能常駐在系統裡或改變系統設定，通常會修改下列幾個地方，以達到此目的。


Autstart Registry Locations

1. 當使用者登入系統時，在這個機碼(key)下的的程式或Script會被自動執行起來：
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts

詳細的內容，請看http://malware-test.com/smf/index.php?topic=1117.0。

:boldred:

贊助商連結

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts


我找不到這兩個耶

有些機碼預設不會有，但是會經由某些設定 (例如組策略) 自動產生。

我找不到這兩個耶
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\
HKCU\Software\Policies\Microsoft\Windows\System\Scripts


沒有使用Group Policy，是不會有這個機碼。這通常用於企業環境。

有用的資訊:)

Sysinternals Freeware - Autoruns (http://www.sysinternals.com/Utilities/Autoruns.html)