ShellServiceObjectDelayLoad
ShellServiceObjectDelayLoad是一個未公佈的註冊表項,可以將組件關聯到這個鍵,這樣一來,系統啓動時間EXPLORER將自動加載目標組件.
這就是某些病毒將自己注射到EXPLORER的辦法.
我們經常會遇到這樣的事情,IeXPLORER的首頁設置爲BLANK,註冊表RUN鍵的值也爲空,但就是每隔一會兒有莫名其妙的網頁自動彈出,這就是ShellServiceObjectDelayLoad在搞鬼,AV終結者變種就利用ShellServiceObjectDelayLoad加載注入。
postbootreminder是用來啓動shell32.dll,是系統進程,但不是必須的,可以關閉
運行msconfig, 啓動項裏的啓動項目可以全部關閉,不會影響電腦正常啓動,可以把需要啓動的項再添加進去 !
而shell32.dll是Windows殼Shell相關應用程序接口動態鏈接庫文件,用於打開網頁和文件。
cdburn是系統刻錄軟件啓動程序
webcheck是對網站進行監視的COM接口
systray是電源管理程序,windows控制節能和恢復啓動的,是系統進程
例子,一個樣本使用這個在關閉時候添加實現自啓動。
進入函數可知就是上面提到的註冊表鍵值
然後查鍵值postbootreminder
