１.[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemDisableCMD]

背景：“命令提示符已被系统管理员停用”遇到过吧？ 很多病毒就是这样禁用 CMD 的。

用法：这是一个类型为 REG_DWORD 的键值

当没有这个值时，CMD 能用

当数据为 1 或 2 时，打开 CMD 就会提示“命令提示符已被系统管理员停用”

其数据为其他数字时，CMD 也可用  


解决：在注册表编辑器（regedit.exe）找到这个项，把它删掉即可

命令行：reg delete "HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindows System" /v "DisableCMD" /f（当然啦，你的 CMD 既然被影像劫持，又怎样打开 CMD 呢？在“运行”输入此命令即可）


２.[HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun]

[HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun]

背景：这是 CMD 的自启动项，打开 CMD 和批处理脚本时，CMD 会先检查这两个键值的数据，如果其中一个或两个都存在，这两个键值的数据会先被执行。 有的病毒就是把这个值设为自己的路径，使得用户打开 CMD 前，就现运行病毒体。  
用法：这是一个类型为 REG_SZ 的键值，只要数据为一个或多个有效命令就可以了

CMD 会先检查 HKLM，然后是 HKCU


解决：每次运行 CMD 时不要直接双击，也不要在命令行上直接打上 cmd，而是加上一个 /d 的参数，CMD 则不会检查这两个键值在注册表编辑器（regedit.exe）找到这两个键值，把它的值设为空，也可以把它删掉

命令行：reg delete "HKEY_LOCAL_MACHINESoftwareMicrosoftCommand Processor" /v "AutoRun" /f

reg delete "HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor" /v "AutoRun" /f


３.[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionscmd.exedebugger]  

背景：影像劫持技术，相信大家都已经听过... 那是 AV 终结者的时代，它让用户打开杀软时，却打开了病毒体， 既然杀软也可以劫持，一个小小的 CMD 又有何难度？

用法：这是一个类型为 REG_SZ 的键值，只要数据为任意一行字符串（不是空字符就可以了），就可以让别人打不开 CMD，而是弹出找不到 CMD.EXE 之类的提示， PS：如果数据为一个有效的文件路径，则打开 CMD 时就会打开这个文件


解决：在注册表编辑器（regedit.exe）找到这个项，把它删掉即可

命令行：reg delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionscmd.exe" /f