注册表一些危险操作

1、映像劫持
“映像劫持”，也被称为“IFEO”（Image File Execution Options，其实应该称为“Image Hijack”）
操作：在注册表中HKEY_MACHINE\SOFTWARE\Microsoft\windowsNT\CuretVersion\Image File Execution Option下面添加Seth.exe,然后在Seth.exe中添加debugger键，
此时连续按五次shift键粘贴被替换成cmd
2、注册表自启动项
Run：该项下的键值即为开机启动项，每次开机而启动
RunOnce的键值只作用于一次，执行完就会自动删除；
用户级别
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]、
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
系统级别
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
，其下的所有程序在每次启动登录du时都会按顺序自动执行。
3、用户登陆初始化
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，Userinit会在用户登录时进行初始化设置，而WinLogon进程将执行指定的login scripts，我们可以修改Userinit的键值来加载我们需要执行的程序。
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

4、Logon Scripts
Logon Scripts优于av先执行，利用这点绕过av的敏感操作拦截注册表路径为：HKEY_CURRENT_USER\Environment,创建一个键为：UserInitMprLogonScript,其键值要启动的程序路径；

5、屏幕保护程序
在对方屏幕保护的情况下，我们可以修改屏保程序为我们的恶意程序从而达到后门持久化的目的，其中屏幕保护的配置存储在注册表中，位置：HKEY_CURRENT_USER\Control panel\desktop,关键值如下：
SCRNSAVE.EXE:默认屏幕保护程序，我们可以把这个键值改为我们恶意程序
ScreenSaveActive:1表示屏幕保护是启动状态，0表示屏幕保护是关闭状态
ScreenSaverTimeout:指定屏幕保护程序启动前系统的空闲事件，单位为秒，默认900（15分钟）

6、影子用户
影子用户只能通过注册表查看这个用户，其他方式是找不到这个用户信息，可以通过$创建匿名用户，创建完后再将用户添加到administrator组；
dos窗口 net user是看不见创建的用户的，但是计算机管理-用户组里面可以看到，这是我们可以修改注册表，其位置：HKEY_LOCAL_MACHINE\SAM\Domains\Account\user
注意：SAM键值默认是只能system权限修改，所以我们要修改SAM键权限，给予administrator完全控制和读取权限。