服务位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
程序开机自启设置
由于64位操作系统中的程序分为32位和64位两种(查看方式为:程序运行时,在任务管理器中查看程序名是否带有*32,有则为32位程序,否则是64位程序)
32位程序注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
64位程序注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在Run中新建字符串值,名称是名称,数据是路径
程序绕过管理员权限提示设置
注册表位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
在Layers中新建字符串值,名称是路径,数据设为“RunAsInvoker”
此时再运行需要管理员权限的程序将不会再有提示
IE浏览器被劫持,注册表修改位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN