こんにちはoniyanです。

今回、スタートアップのアプリを勝手に追加するマルウェアを扱ってる際、予想していた場所に登録されてなかったので備忘録としても書き留めておきます。

レジストリとは

Windowsにログインしたと同時に立ち上がるアプリはレジストリというところに登録されています。register(登録する)なのでregistry(登録帳)ですね。

画面の左下の検索欄で「レジストリ」と検索すると出てきます。

さて、レジストリのどこにスタートアップのアプリが登録されているのかググると

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

と出てきます

しかし、そのディレクトリはあるもののアプリの名前は書かれていませんでした。

結果どこにあったのか

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

もしくは

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder

ここに登録されていました。