病毒自启动的方式-笔记不定时更新

一般情况下，在用户点击运行病毒程序之后，病毒才会运行起来，而在大多数情况下，病毒程序在用户运行过后就会对用户的计算机进行某些修改来隐藏自己或者是在用户不知情的情况下运行病毒自身。
举几个例子：
1、在病毒运行之后，修改注册表实现自启动
2、病毒运行之后，实现自删除（其实在这个时候大多数的情况应该是病毒将自身复制到其他的路径下）来伪装自己。
3、设置计划任务
那么能够让病毒修改启动项之后进行自动运行的注册表项有哪些呢？（开机自启，下次开机的时候自动启动）
1、Run注册表键
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce（只会运行1次，之后就会删除）
2、 Load注册表键
HKCU \ Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
3. Userinit注册表键
HKLM \ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
以上三个注册表项是一般病毒比较着重应用的注册表项，同时如果病毒修改了以上注册表的话我们在以哦那个注册表工具进行查看的时候也会看到，比如说AutoRun这个工具，但是也不可太过于依靠工具，当在病毒分析的过程中发现有对注册表的操作的时候其实是应该多注意一下，因为严格来说，对于注册表的操作，其实是比较敏感的。
上边说，不能太过依靠工具，是因为部分病毒在修改注册表的时候会专门针对某一款或者几款病毒分析人员习惯使用的工具将进行相应的绕过操作。就比如AutoRun来说：
具体介绍绕过AutoRun

之后再说，部分病毒再用户双击运行之后，会把病毒程序从当前目录中删除，以这样的方式来隐藏自己，这个时候大多数情况下，是病毒通过CMD 命令或者power shell都可以实现这样的功能，但其实病毒并不会真正把它自己从用户的电脑删除的，除非木马病毒的升级的时候，更多情况下，病毒还是会把自己复制到其他的目录下，伪装成正常程序来诱惑用户点击运行。

设置计划任务，设置计划任务再几分钟或者一段时间之后再启动病毒程序也是一个很好的办法，同时触发条件也可以是检测用户的任务管理器或者是其他的一些日志监控软件是否开启，如果处于关闭状态就启动病毒。也是病毒的常见手段。