木马是如何启动的[本站原创]

木马是如何启动的

这里介绍一下木马的基本启动方式，我们中了木马再也不必重做系统了。

1.常见的注册表自启动项。

在以下位置，当你开机的时候，指定的程序会自动运行：
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
hkey_current_user\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceEx
hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 右边正常的是值是c:\windows\system32\userinit.exe, 如果在逗号后面加上木马的路径，就可以开机的时候启动木马。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell　　　值应该为Explorer.exe 木马可以在explorer.exe 后面加个空格，然后加上木马路径，就可以在开机的时候启动木马。
开始－程序－启动　　　这里的也可以在开机的时候自启动。在磁盘中的路径为：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动　　　以任何用户登录windows都生效。
C:\Documents and Settings\这里是用户名\「开始」菜单\程序\启动　　只在以当前用户登录windows时才有效。
此外，还可以关联文件的打开方式来启动木马，比如：
HKEY_CLASSES_ROOT\batfile\shell\open\command\默认
HKEY_CLASSES_ROOT\comfile\shell\open\command\默认
HKEY_CLASSES_ROOT\exefile\shell\open\command\默认
HKEY_CLASSES_ROOT\regfile\shell\open\command\默认
HKEY_CLASSES_ROOT\txtfile\shell\open\command\默认

HKEY_CLASSES_ROOT\cmdfile\shell\open\command\默认

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\ autorun 这一项。我估计知道这个的不多吧

2..在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比如：

run=c:\windows\a.exe

load=c:\windows\a.exe

那么a.exe就需要检查一下他是否合法。

3.在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exea.exe。这里的a.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用－－－－驱动式木马。
4.ICQ自启动

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

当ICQ检测到网络连接时，会自动执行这个键下的程序。

5.在Autoexec.bat和Config.sys中加载运行

在C盘根目录下的这两个文件也可以启动木马.

6.在Winstart.bat中启动

这一个很少见。

7.木马自注册一个服务。
右单击　我的电脑－管理－服务和应用程序－服务。
这里也可以启动木马。想查出哪个服务是木马的，也需要一定的经验。但也不是那么困难，服务里可执行文件的路径这一项就可以看个差不多。比如：如果文件路径为c:\windows\svchost.exe,c:\windows\system32\svohost.exe,c:\windows\system32\scvhost.exe,c:\windows\system32\realplayer.exe 等等吧，这几个就是不正常的。当然我不能一一列举。。。。通过查看该文件的属性也可以分辨出是否为木马。文件属性包括：文件创建时间，出品公司，文件版本，文件注释，源文件名。
8.驱动式加载。
在c:\windows\system32\drivers\里的sys文件就是了。据说，这里的文件，哪怕你用安全模式启动，也可以加载的。当然，有些也可以跳过。也就是说，就算你进了安全模式，也杀不掉他。所以，我通常不是在正常的windows模式下就是在纯DOS下杀毒。一般不进安全模式的。这里的文件同时也是非常重要的。误删一个文件有可能造成系统无法启动。所以，在排查这里的文件的时候，一定要确定此文件不合法。

如需拷贝，请注明出处，否则将视为侵权行为。