那么在这里这里应该是没有问题,新建了对应内容,那么只需要修改对应的内容,在这里添加数值就行,我们给它添加一个内容,我们在桌面给大家新建一个对应的,内容点exe,当然它不会以正常的程序来进行运行。我们只是给大家演示一下对应的这个内容,首先是要将对应路径拷贝过去,复制,然后在这里进行一个粘贴,然后运行1.exe,然后点击确定。在这里可以看到它也是具有对应数值类型,那么两者是一样的内容。
那么接下来我们正常启动加载,确定,那么我们再次打开msf config的回车,然后启动这个位置,可以看到大家就会发现我们在启动这个位置就具有了一个未知厂商的这样一个exe程序,那么你就可以看到注册表当中修改的话,那么咱们这个位置也会进行一个设置,那么在这里就会进行一个展现。
那么咱们这个exe程序也就是会进行一个开机自启动。那如果我们找到了这样一个未知的这样一个开机自启动,并且确定这个exe程序不是我们自己这个工作人员设置上去,那么我们也进行对应检测,发现1.exe它是一个恶意程序,那么我们就可以在这里进行一个删除,给它删除掉,那么并且把对应的程序进行一个删除,那么这样就避免了一个恶意程序进行对应开机自启动的一个效果。那么对于run的话,那么在其他不同的这个位置也是具有的,我们需要逐一来进行选择,那么有的是没有,这里我们来进行查看也是没有,那么就应该是local mention和current user,那么我们看一下root是否也具有对应的这样一个表,那我们来进行查看,这里应该是应该是不具有的。
那么当然,你自己可以下去来进行查看,我们给大家查看了两个位置是具有对应的 round,因此我们可以进行对它进行查看,并且设置修改删除。那么以上是咱本节课关于文件分析开机启动文件的一个检测,大家可以通过三个方式来进行查找,首先是启动菜单,那么这种启动菜单检测来说,它针对咱们放置在其中的这个程序可以进行检测,那么其实如果注册表当中写了对应的这个内容,那么在启动菜单当中是不会进行展现,因此我们就可以通过其他两种方式来进行检测。
首先是查看系统配置,通过MS肯face打开系统配置,查看启动项检测是否存在我们一些未知的启动项,然后通过下一步的排查来查找是否设一,代码如果是的话,大家就可以进行一个删除。