一、直接加载的位置1、Load注册键介绍该注册键的资料不多，实际上它也能够自动启动程序，位置：HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows建一个字符串名为load键值，为自启动程序的路径但是要注意短文件名规则，如c:\programfiles应为c:\progra~1，这种方式用优化大师看不到。

据说建立run=键值也是可行的，需要注意没有测试过。

2、Winlogon\Userinit注册键存放位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 找到“Userinit”这个键值，这个键值默认为c:\WINNT\system32\userinit.exe，后面加路径，再加逗号也可以。

这里也能够使系统启动时自动初始化程序。

通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”（不含引号）。

注意下面的Notify、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。

3、Explorer\Run注册键和load、Userinit不同，Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE 下都有，具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。

4、RunServicesOnce注册键RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序，RunServicesOnce注册键的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnc e；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Once。

5、RunServices注册键RunServices指定的程序紧接RunServicesOnce指定的程序后运行，两者都在用户登录之前，位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRunServices；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 。

6、RunOnceSetup注册键RunOnceSetup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSet up。

7、RunOnce注册键安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。

HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时间在其他Run键指定的程序之前。

HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。

8、Run注册键Run是自动运行程序最常用的注册键，位置在：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。

HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在“启动”文件夹运行之前执行。

Run的程序是在每次系统启动时被启动，RunServices则会在每次登录系统时被启动。

9、ImageFileExecutionOptions下的注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFile ExecutionOptions下的注册表项，项名为A.exe，然后在下面新建一个字符串，字符串名为Debugger，字符串值就是程序B.exe的全路径。

这个是针对系统可以设置每个程序指定的纠错程序来实现的。

让我感到意外的是A.exe不用指明路径！10、开始菜单启动组现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。

如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到相应的文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。

也可以在注册表中直接查看，它的位置为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFol ders，键名为Startup。

11、Winlogon\shell在以下键值位置：HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogo n；里面的shell建值在Explorer.exe的后面加上我们程序的路径这样我们的程序就可以随系统启动了。

比如我的c:\windows\system32\下有个hehe.exe木马。

12、COMMAND的AUTORUN利用CMD.EXE的autorun：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor下面建一个字串AUTORUN，值为要运行的.bat或.cmd文件的路径，木马可以加载在AUTORUN键值下。

这样在运行CMD命令的时候一起加载运行。

注意：1、如果需要运行.dll文件，则需要特殊的命令行：Rundll32.exeC:\WINDOWS\FILE.DLL,Rundll322、解除这里相应的自启动项只需删除该键值即可，但注意不要删除系统键值。

3、如果只想不启动而保留键值，只需在该键值加入rem即可：“remC:\Windows\a.exe”13、System\Shell存放位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 键值名称：Shell，下面的数据为启动文件名。

14、System\Scripts下Logoff(Logon)键值注意以下分支的Logoff(Logon)键值可能加载文件：HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts；HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts。

15、AppInit_DLLs键值在以下位置：HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS，有一个键值APPINIT_DLLS，一些DLL木马可以在这个位置上直接加载，这种方式加载的木马无法在任务管理器中看到。

如求职信病毒就是让系统执行DllMain来达到启动木马的目的，因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

16、bootexecute键值在以下位置：HKLM\SYSTEM\CONTROLSET001\SESSIONMANAGE下面，有一个名为bootexecute 的多字符键值，默认数值是：autocheckautochk*。

17、Winlogon\Notify位置：HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\NOT IFY，此处位置也需要特别的留意。

18、RunOnceExXP操作系统，还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 键值位置的内容19、Explorer\shellfolders和usershellfolder以下四个键值位置需要注意：HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERSHKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS;HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\Usersh ellfolderHKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\Usersh ellfolder20、ShellServiceObjectDelayLoad以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService ObjectDelayLoad下可能有可疑键值。

二、文件关联1、EXE文件关联另外[HKLM\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe"%1"%”。