问什么是“冗余引导持久性机制”？

EN

一旦恶意软件感染了系统，即使中断可能会切断系统的访问，它也会留在那里。这种行为称为持久化。恶意软件如何实现持久性的基本细节称为恶意软件的持久性机制。

例如，在没有启动持久性的情况下，恶意软件将在计算机重新启动(这将杀死恶意程序进程)之后简单地死亡并停止工作，因此恶意软件需要一种方法来在每次打开计算机时自动启动。这样，恶意软件就不需要用户每次都显式地运行恶意文件来重新感染系统。

为了实现这一点，恶意软件经常使用与合法软件在自动启动时所使用的相同的技术(软件更新程序、通知程序、服务、驱动程序等)。最常见的技术是创建引用恶意可执行文件的运行键。

来自https://docs.microsoft.com/en-us/windows/win32/setupapi/run-and-runonce-registry-keys?redirectedfrom=MSDN：

Run和RunOnce注册表项导致每次用户登录时程序都会运行。键的数据值是命令行。通过添加表单description-string=commandline的条目来注册要运行的程序。您可以在一个键下写入多个条目。如果在任何特定键下注册了多个程序，则这些程序的运行顺序是不确定的。Windows注册表包括以下四个键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

请记住，还有其他实现引导持久性的方法，还有许多其他运行关键位置，其中一些方法需要更多的特权，并且是系统范围的。通过管理员权限，恶意软件可以在香港中文大学蜂巢而不是香港大学蜂巢中注册自己，因此无论用户登录，恶意软件每次都可以自动启动。

无论如何，要回答您的确切问题，当消息来源说Dexp热使用“冗余引导持久性机制”时，它们很可能意味着恶意软件具有多个引导持久性机制，这些机制充当故障安全的作用，因此即使其中一个持久性机制失败或因任何原因停止工作(例如，删除引用恶意软件的运行密钥)，恶意软件仍然可以保持持久性，并在重新启动计算机时自动启动。

您可以从以下文章中看到许多已知的Windows自动启动/自动启动/自动启动位置：https://www.ghacks.net/2016/06/04/windows-automatic-startup-locations/和“运行键”以外的系列：http://www.hexacorn.com/blog/2017/01/28/beyond-good-ol-run-key-all-parts/

请记住，还有其他未知的/非公开的，但自动启动/自动运行/自动启动的位置。