前一阵子需要在win 10中加一个开机自启的程序或者脚本，并且最好是还能隐藏掉，由此展开了深入的研究：

首先呢，找到了win 10常规的开机自启目录：

C:\Users\‘用户名’\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

当你在此目录下放置一个exe或者vbs脚本等可执行的程序时就可以达到开机自启的目的，但是会显示在任务管理器中的”启动”一栏中。

我想直接放一个bat文件行不行呢？经过测试是不可以的，不过可以通过vbs脚本来运行bat文件。

vbs脚本启动bat或者其他程序：

set ws=WScript.CreateObject("WScript.Shell")
ws.Run "G:\test.bat /start",0

0代表运行完就退出。

当然你也可以用vbs脚本直接执行你想要的命令。

大家都知道通过bat脚本可以执行任何windows命令，但是有些命令是需要管理员权限的，比如说新建用户然后添加到管理员组中，怎么样才能让bat以管理员身份执行命令呢？

直接以管理员身份运行bat代码：

@echo off
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
if '%errorlevel%' NEQ '0' (
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )

把你的代码直接写在该文本的后面，即可实现管理员身份运行。

（用管理员身份运行bat:开机自动启动此bat时会有一个cmd窗口闪过，可能是本人电脑太渣导致的）

隐藏开机启动项：

一：在“开始→运行”中键入“gpedit.msc”，启动“组策略”，展开“用户配置→管理模板→系统→登录”，启用“在用户登录时运行这些程序”项，并单击“显示”按钮，添加某个程序，重新登录后该程序就会自动运行。

（win 10亲测可行，也不会显示在任务管理器中）

二:在“开始→运行”中键入“regedit”，我们找到HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon里面的Shell键值双击打开在“Explorer.exe”的后面加上我们程序的路径，比如要设置D:\123.EXE为自启动程序，即SHELL键值中的内容为“explorer.exe d:\123.exe”（中间有个空格）那么我们这样程序就可以随系统启动了

（此方法测试无效，修改shell值会提示无法修改，修改权限也无法解决，不知道是不是系统问题。。。）

希望此篇文章可以帮助大家在寻找一些windows的后门时提供思路~

题外话：在寻找win 10启动目录时意外发现了powershell的命令记录历史文件：

C:\Users\’用户名’\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline

此用户在powershell下打的每一条命令都会记录在此文件中，可能会泄露一些敏感的信息。