建议收藏打开注册表命令( 五 ) _云知道

然后，选择要删除的运行键的确切名称，然后复制粘贴该名称。注意，这里必须包括相应的特殊字符，但是，不要复制冒号后面的可执行文件的详细数据。
Remove-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name "*Run Safe Mode too" -verbose

这样，就会返回详尽的消息，以确认删除的的确是我们的目标运行键。

然后，让我们再检查一下，以确认它的确已经被清除。如果这里还有恶意运行键的话，请仔细检查复制和粘贴的内容是否正确，因为发生误操作也不是不可能的事情。
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" | select -property * -exclude PS*| fl

拨开运行键的迷雾运行键是一种非常晦涩难懂的权限维持机制。但我希望这篇文章能让我们对监视、检测、控制和清除涉及运行键的任何恶意活动有所帮助。
作为一个防御者，许多时候我们的角色与入侵者相比一直处于劣势。他们可以利用zero-day漏洞，他们可以欺骗用户，他们可以用更大的预算跨时区运行。所以，这就要求我们进行全方位的防护，但对他们来说，只需要拿下一个突破口就行了。所有这些都是真实不虚的，但我发现有时我们可以把这种观点颠倒一下，把重点放在我们与攻击者相比所拥有的优势上。
环境是我们的，注册表是我们的，运行键也是我们的。同时，我们知道这一切是如何运作的，我们应该在这里等待对手在我们的领域里打喷嚏。虽然这是我们的地盘，但我们并不天真，我们有时候的确会被攻陷。但是，我们会抓住入侵者，把他们踢出去，并提高入侵难度。

了解您的环境中什么是正常的，这样您就可以知道注册表运行键操作何时不合适，并培植一个对抗性的网络，让攻击者寸步难行。
小结当然，还有许多其他古怪的注册表项，它们可以通过运行键做一些奇怪的事情。例如，我们没有提到整个文件夹是如何通过注册表运行键实现权限维护的！你可以在这里、这里和这里阅读更多信息。此外，你可以在这里、这里和这里阅读更多内容。