惡意代碼——註冊表

AppInit_DLL（利用user32.dll）

   經過AppInit_DLL特殊的註冊表項，這樣能夠獲取DLL的加載，由於AppInit_DLL中的DLL會在進程加載User32.dll時被加載

因爲不少程序都是加載User32.dll，因此這些進程也會加載AppInit_DLL,惡意代碼編寫者一般只針對一個進程，（進行精準打擊）因此爲了排除沒用的進程，惡意代碼編寫的payload在運行前必須先檢查惡意Dll在哪一個程序中（在DLLMain中完成檢查）

 

Winlogon Notify(利用開機，關機，註銷)

  當咱們掛鉤一個Winlogon事件時，（登錄，註銷，關機等等）惡意代碼就能夠在註冊表中包含Notify的值

SvcHost DLL（利用服務，註冊表）

以前說過的服務也是惡意代碼利用的利器，而服務存在於註冊表中，惡意代碼利用svchost.exe來存活，Windows系統在同一時刻運行多個svchost.exe，每一個svchost中都有一組服務，這些組都被定義到下列註冊表中

Windows有不少服務組，因此惡意代碼也很容易利用這些服務組，它不多會去建立服務組，由於這樣很容易被識破，因此一般他們會覆蓋一個可有可無的服務，咱們在分析惡意代碼的時候，查看導入表中有CreateServiceA這種相似的函數應該多多留意