恶意代码——注册表

AppInit_DLL（利用user32.dll）

   经过AppInit_DLL特殊的注册表项，这样能够获取DLL的加载，由于AppInit_DLL中的DLL会在进程加载User32.dll时被加载

因为不少程序都是加载User32.dll，因此这些进程也会加载AppInit_DLL,恶意代码编写者一般只针对一个进程，（进行精准打击）因此为了排除没用的进程，恶意代码编写的payload在运行前必须先检查恶意Dll在哪一个程序中（在DLLMain中完成检查）

 

Winlogon Notify(利用开机，关机，注销)

  当咱们挂钩一个Winlogon事件时，（登录，注销，关机等等）恶意代码就能够在注册表中包含Notify的值

SvcHost DLL（利用服务，注册表）

以前说过的服务也是恶意代码利用的利器，而服务存在于注册表中，恶意代码利用svchost.exe来存活，Windows系统在同一时刻运行多个svchost.exe，每一个svchost中都有一组服务，这些组都被定义到下列注册表中

Windows有不少服务组，因此恶意代码也很容易利用这些服务组，它不多会去建立服务组，由于这样很容易被识破，因此一般他们会覆盖一个可有可无的服务，咱们在分析恶意代码的时候，查看导入表中有CreateServiceA这种相似的函数应该多多留意