HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的铁路超高getValueNames() - 腾讯云开发者社区

文章/答案/技术大牛

发布

Windows程序自启动原理

\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 描述：...\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...XP，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] 中找到这个子键 10.RUN注册键...：位于：[HKEY_CURRENT_USER\Softvvare\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE...\Microsoft\Windows\CurrentVersion\Run] 描述: [HKEY_CURRENT_USER]根键下的“Run”键值紧接着[HKEY_LOCAL_MACHINE]下的“Run

3.6K5 0

windows系统中自启动几种方式

不要以为管好了“开始→程序→启动”菜单就万事大吉，实际上，在Windows XP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。　　...\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...九、RunOnce注册键　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...十、Run注册键　　Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE...\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

1.4K6 0

您找到你想要的搜索结果了吗？

是的

没有找到

dotnet 利用 Windows 注册表实现开机自动启动

\Policies\Explorer\Run 机器级的注册表地址：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies...\RunServicesOnce 机器级的注册表地址：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce...\Software\Microsoft\Windows\CurrentVersion\RunServices 机器级的注册表地址：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\...Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Run是自动运行程序最常用的注册表。

2451 0

C#注册表的读，写，删除，查找

= rk.opensubkey("software"); registrykey microsoft = software.opensubkey("microsoft");...= rk.opensubkey("software"); registrykey microsoft = software.opensubkey("microsoft");...= rk.opensubkey("software"); registrykey microsoft = software.opensubkey("microsoft");...= rk.opensubkey("software"); registrykey microsoft = software.opensubkey("microsoft");...registrykey windows = microsoft.opensubkey("windows"); registrykey current = windows.opensubkey

2.5K5 0

Window权限维持（一）：注册表运行键

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d..."C:\tmp\pentestlab.exe" reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce...reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001" /v Pentestlab /...根据特权级别，这些模块将尝试在以下注册表位置中安装base64有效负载： HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Debug HKLM:SOFTWARE...HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run

1.4K4 0

红队之浅谈基于Windows telemetry的权限维持

Windows会默认执行的相关注册表： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER...\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion...\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 3、自启动服务目录 HKEY_LOCAL_MACHINE...\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices...\CurrentVersion\Explorer\ShellFolders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

1.1K2 0

红队之浅谈基于Windows telemetry的权限维持

Windows会默认执行的相关注册表： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER...\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion...\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 自启动服务目录 HKEY_LOCAL_MACHINE\...\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices...\CurrentVersion\Explorer\ShellFolders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

1.3K1 0

CobalStrike批量上线后的权限维持和信息收集~

这样就能看到开机自启动的内容都有什么: 这个在cmd中的命令为 REG query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...REG add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v 360 /d "C:\Windows\Temp...还有⼀条删除命令： REG delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v 360 /f #删除...REG query"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"#显示这个目录下的所有的值REG add"HKEY_LOCAL_MACHINE...delete"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v 360/f #删除自启动维稳方法二：加入高权限组执行计划任务

2.2K3 0

【玩转腾讯云】Windows云服务器排障思路

\Windows\CurrentVersion\policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion...\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft...\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows...\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE...\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

8.2K18 10

做Windows自定义镜像前配置开机后首次自动重启

>>c:\test.txt reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /...add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "DefaultPassword" /d "具体化机器密码" /...t REG_SZ /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "AutoAdminLogon"..." /d "Administrator" /t REG_SZ /f #reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion..."HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "RestartScript" /f 把以上方案做到自定义镜像里就可以实现开机后首次自动重启

2911 0

phpstudy8在windows2016上安装后在服务列表找不到服务

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup没有开机启动项，运行msconfig也没找到开机启动项最后通过安装AnVir Task...Manager Free 看到phpStudyServer是通过注册表设置的开机启动项，是一个打包服务，包含了Web服务和数据库服务注册表路径是HKEY_LOCAL_MACHINE\SOFTWARE...\Microsoft\Windows\CurrentVersion\Run image.png 同样的软件在2008 R2里安装后执行msconfig是可以看到有开机启动项的 image.png 综上，...以后看开机启动项的时候，从4个维度 1、services.msc 2、msconfig 3、注册表 ①HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...\Run ②HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run 4、C:\ProgramData\Microsoft

3.3K2 0

获取主机已安装程序的多种方式

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion...\\Uninstall HKLM\\SOFTWARE\\WOW6432NODE\\Microsoft\\Windows\\CurrentVersion\\Uninstall HKCU\\SOFTWARE...\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall")] class SampleProductsList { [key] string...\\SOFTWARE\\Wow6432node\\Microsoft\\Windows\\CurrentVersion\\Uninstall")] class SampleProductsList32...\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\" ListPrograms -RegPath $RegPath Write-Host "[+

2.4K2 1

C#实现软件开机自启动原理与代码

它的位置在[HKEY_CURRENT_USER\Softvvare\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\...Microsoft\Windows\ CurrentVersion\Run]。...在3编程实践中，对checkbox控件的Checkedchanged事件进行设置，在设置开机自启动中，启动软件JK信息写入“Run”键值；取消开机自启动中，删除软件JK信息“Run”键值中的值。...\Microsoft\Windows\CurrentVersion\Run"); rk2.SetValue("Jc", path); //注意,Jc为自启动软件的软件名...\Microsoft\Windows\CurrentVersion\Run"); rk2.DeleteValue("Jc", false);

2.6K9 0

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

枚举键现在我们知道了常量，让我们尝试枚举一个众所周知的注册表路径 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 下的可用子项...例如，如果将上述命令中的路径 software\microsoft\windows nt\currentversion\schedule 替换为 software，则输出将列出 HKEY_LOCAL_MACHINE...-Name CheckAccess @(2147483650, "software\microsoft\windows\currentversion\run", 32) 上图中的 bGranted...\microsoft\windows\currentversion\run", "C:\Windows\System32\calc.exe", "Calculator") Boom，我们的计算器应用程序实现了持久化..., "software\microsoft\windows\currentversion\run", "Calculator") 创建键在少数情况下，我们可能需要在主树层次结构下创建键。

1.7K2 0

VBScript详解(一)

例子： path=”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” set ws=wscript.createobject...path=”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\sssa2000\love\” set ws=wscript.createobject...\Software\Microsoft\Windows\CurrentVersion\Policie*\**plorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...十、Run注册键：Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE...\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

6.6K2 1

加载出错收集解答

-Software –Microsoft —Windows —-CurrentVersion —–Run 看Run里面吧，错误的程序，你就删除不让它启动....在左边的面板中，双击: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunServices 在右边的面板中，找到并删除如下项目...在左边的面板中，双击: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run 在右边的面板中，找到并删除如下项目： Program...重新启动后如果还是出现你所描述的提示信息，那就再进入注册表编辑器，分别依次展开 HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼...Run HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce HKEY_CURRENT_USER＼Software＼Microsoft

1.2K2 0

Win10删除右键菜单中的百度网盘以及资源管理器中3D对象视频图片等快捷方式

一删除右键菜单中的”上传到百度网盘“选项相信大家都有这种经历，装了百度网盘客户端后，会自动在Windows的右键菜单中添加“上传到百度网盘”选项，但该选项在百度网盘客户端设置中是没法去掉的。...\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace 在展开的NameSpace注册表项后，在其项下面找到{0DB7E03F-FC29...：［-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{24ad3ad4...-a569-4530-98e1-ab02f9417aa8}］ 3）音乐文件夹：［-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...}］ 5）视频文件夹：［-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace

13.9K1 0

windows权限维持(二)

注册表类：普通注册表后门在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run...\RunServicesOnce 上面的是针对于用户的注册表，下面的这几个是针对本地计算机的注册表： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion...\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software...\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion...\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

2K2 0

利用window自带的powershell进行文件哈希值校验

;[Console]::Readkey() | Out-Null;exit" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...;[Console]::Readkey() | Out-Null;exit" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...;[Console]::Readkey() | Out-Null;exit" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...;[Console]::Readkey() | Out-Null;exit" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...;[Console]::Readkey() | Out-Null;exit" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

4.8K2 0

如何删除启动项中 program 空白程序启动项，最简教程；

手动：修改注册表 regedit，清除下面三个表格中的无效项目； KEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion...> Run HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run HKEY_LOCAL_MACHINE...\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run 自动：借助第三方软件；我的原因是：tgp删除后，其未清除注册表信息；参考文献

6.5K1 0

点击加载更多

Windows程序自启动原理

windows系统中自启动几种方式

dotnet 利用 Windows 注册表实现开机自动启动

C#注册表的读，写，删除，查找

Window权限维持（一）：注册表运行键

红队之浅谈基于Windows telemetry的权限维持

红队之浅谈基于Windows telemetry的权限维持

CobalStrike批量上线后的权限维持和信息收集~

【玩转腾讯云】Windows云服务器排障思路

做Windows自定义镜像前配置开机后首次自动重启

phpstudy8在windows2016上安装后在服务列表找不到服务

获取主机已安装程序的多种方式

C#实现软件开机自启动原理与代码

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

VBScript详解(一)

加载出错收集解答

Win10删除右键菜单中的百度网盘以及资源管理器中3D对象视频图片等快捷方式

windows权限维持(二)

利用window自带的powershell进行文件哈希值校验

如何删除启动项中 program 空白程序启动项，最简教程；

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐