那么除了可以通过MS config，你可以直接检查注册表，注册表当中，包含着software，Microsoft，windows，converse and wrong。下面的这个就是咱们对应的开机自启动，那么不光是咱们对应的，那么咱们local machine也是具有类似的这样一个run的键值，那么咱们可以对它进行查看修改。以上就咱本节课关于分析排查的一个简单介绍，以及我们文件分析当中如何进行开机启动文件的一个检测。

那么接下来，我们继续介绍文件分析。那我们介绍的是temple这样一个临时文件夹当中的临时文件，那我们要知道临时文件夹当中存储的这些文件是具有一定权限的，只要咱们登录系统，那么咱们就可以对它对应文件夹下的文件进行读写操作。那我们这个文件夹也被叫做临时文件夹，临时文件夹它位于的这个位置，那默认情况下是在这个路径下，当然很多的这个临时文件是存放在我们临时文件夹当中，那么用来进行对应的这个收藏，那么以及浏览网页的临时文件也会存储到temp当中，并且我们编辑的文件等等一些相关的临时内容都可以存储到文件夹当中。

那我们想打开临时文件夹，你可以在运行当中,输入我们这样一个变量，那么由于这种情况下会设置到环境变量当中，我们直接输入百分号加temp就可以打开temple的这个文件夹。当然如果你不嫌麻烦，你可以直接一步一步打开这个路径，然后再找到temple这样一个文件夹也可以进行一个打开。

那么下面我们回到对应的这个服务器当中，我们可以在这里给大家进行展示，如何打开，我先将之前打开的一些对话框关闭，然后按windows键按打开运行，然后输入百分号temp，然后点击确定，那么就可以打开我们对应的这样一个文件夹，那在这个文件夹也就是temple，文件夹下有很多的目录可以看到，这是我们之前安装软件的一些临时目录，可以看到同时也有一些temple这些临时文件，同时也有一些exe文件，这是我们安装软件过程中所遗留的一些内容，那并且这里有对应的这个修改时间，那么也可以看我们对应这个修改时间进行排序以及文件类型大小等等一些经过筛选可以进行一些筛选。

那么通过这种形式也可以找到一些对应的这些程序，那么看这些程序是否存在一些异常情况。例如咱们在temple文件夹下发现的一些PE文件，包括ese、后缀名，贬低l后缀名以及SIS相关后缀名，都可以被认为PE稳将那 PE文件是window下执行的这样一种文件格式，只有符合文件格式之后才可以进行一个正常的运行。那么这些出现在temple下都是非常可疑的，因此我们需要逐步排查，并且我们除了批文件之外，也需要排查一些特别大的temple文件。