Load注册键　　　　　　　　HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load　　　　Userinit注册键　　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit　　　　ExplorerRun注册键　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run　　　　和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Policies\Explorer\Run　　　　RunServicesOnce注册键　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\Once　　　　和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce　　　　RunServices注册键　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices　　　　和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services　　　　RunOnceSetup注册键　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup　　　　和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup　　　　RunOnce注册键　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce　　　　Run注册键　　　　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

1.CMD:netlocalgroupadministrators或者查看计算机管理管理员用户组，是否有未知的账户。cmd：netuser用户名查看用户详细详细，知道用户是什么时候创建和设置的密码2.注册表：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names和“计算机管理”中存在的账户进行比较3.运行“组策略”：gpedit.msc依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。4、开启登陆事件审核功能　　进行登陆审核后，可以对任何账户的登陆操作进行记录，包括隐藏账户，这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称，甚至黑客登陆的时间。即使黑客将所有的登陆日志删除，系统还会记录是哪个账户删除了系统日志，这样黑客的隐藏账户就暴露无疑了。　　5、通过事件查看器找到隐藏帐户　　得知隐藏账户的名称后就好办了，但是我们仍然不能删除这个隐藏账户，因为我们没有权限。但是我们可以在“命令提示符”中输入“netuser隐藏账户名称654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效，黑客无法再用这个隐藏账户登陆。