Jeśli dla pewnej aplikacji (np. mspaint.exe) zostanie stworzony podklucz w HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options o nazwie tej aplikacji (bez pełnej ścieżki), a w nim wpis Debugger, to przy uruchamianiu tej aplikacji zostanie uruchomiony program, na który wskazuje Debugger.
Warto na te wpisy zapolować raz na jakiś czas podczas misji
ThreatHuntingowych, a wręcz je monitorować.
Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.