攻击者可以通过将程序添加到启动文件夹或使用注册表运行键引用它来实现持久性。
在注册表或启动文件夹中的“运行键”中添加一个条目将导致在用户登录时执行引用的程序。 这些程序将在用户的上下文中执行,并具有帐户的相关权限级别。
将程序放置在启动文件夹中也会导致该程序在用户登录时执行。有一个用于单个用户帐户的启动文件夹位置以及一个系统范围的启动文件夹,无论哪个用户帐户登录,都将检查该文件夹.
其中:当前用户的启动文件夹路径为:
<C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup