提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

前言

提示：这里可以添加本文要记录的大概内容：

Windows系统的注册表，存储了系统和应用程序的设置信息，是一个重要的数据库。相对于定时任务进行恶意程序的触发，使用注册表劫持的方式也能进行恶意程序的触发。

提示：以下是本篇文章正文内容，下面案例可供参考

一、简单注册表劫持

注册表劫持是指，更改注册表中的某些配置，使其能够带动恶意程序一并触发。比如windows系统打开.txt的文件，它总是能够选择notepad.exe，因为注册表中存在相应的配置。

@符号定义了从windows\system32\notepad.exe中获取字符串资源 

-469是资源ID为469的字符串资源，即notepad.exe这个资源。

二、简单的劫持示例

1，劫持windows的notepad.exe打开的.txt。

2，以mstsc远程桌面当作恶意程序。

这里的%1是notepad.exe的一个参数，随后在电脑中打开一个.txt文件，会随即执行scvhost.cmd文件，带动mstsc.txt恶意程序的触发。

总结

相比于定时任务，劫持注册表触发恶意程序会比较苛刻，需要由电脑管理员手动触发，同时先前必须知道管理员会打开那些文件，可控性差。对于注册表劫持的防御其实也比较简单，对注册表的一些默认配置等进行更改监控即可。