木马启动地方又三处

-------1-----------------
J b$SrqbG-w3q u~Hkey_current_user\software\microsoft\windows nt\currentversion \windows 建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则，如c:\program files 应为c:\progra~11Y$J @'`0i
Jb
这种方式用优化大师看不到
:i&@1f Pz8[&X
C^1q----------2--------------------
4bm6P2^#`/d另一个注册表可以加启动项的位置
7N*~-T.Z)y.B6Lvbbs.abcbit.comHKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径 这样我门的程序就可以随系统启动了。

R/h$}iN&]比如我门的c:\windows\system32\下有个hehe.exe木马。bbs.abcbit.com;q9N;kk0l&sAc1C
g$[

ygw
B7h,M,Q比特论坛-------3-------------------------?Vn        N1p}i
Do
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”这个键值，这个键值默认为c:\WINNT\system32\userinit.exe，后面加路径，再加逗号也可以-h
a*Uw })@\

q?3ka
~K

J6v x2d`U        \#N.dV木马对文件关联的利用
3n#v9lS6T3wE6V
j [4h.N;q(q2W }1y　　我们知道，在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序，使之开机时自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。除了这种方法，还有一种修改注册表的方法也可以使程序自启动。wx"P+?OW

^%^
a\;Ubbs.abcbit.com　　具体说来，就是更改文件的打开方式，这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说，打开注册表，展开注册表到HKEY_CLASSES_ROOTexefileshell
K _,Ns.O
^2hJsopencommand，这里是exe文件的打开方式，默认键值为：“%1”%*。如果把默认键值改为Trojan.exe“%1”%*，您每次运行exe文件，这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式，而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。Z6xK%s4rJ|S\
#[(a3s%q(MD y6L
　　对付这种隐藏方法，主要是经常检查注册表，看文件的打开方式是否发生了变化。如果发生了变化，就将打开方式改回来。最好能经常备份注册表，发现问题后立即用备份文件恢复注册表，既方便、快捷，又安全、省事。
fB*f"p:X;j        c%[/H5X:@ b@5AYhB
tpAE:w^\ry
木马对设备名的利用8T&YMX+W
`G#~

?:b6q-zF*n'K　　大家知道，在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。
|8@,R)d;X
5yA7gI+S6e M

)b'_　　具体方法是：点击“开始”菜单的“运行”，输入cmd.exe，回车进入命令提示符窗口，然后输入md c:con\命令，可以建立一个名为con的目录。默认请况下，Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux\命令，可以建立aux目录，输入md c:prn\可以建立prn目录，输入md c:com1\目录可以建立Com1目录，而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试，您会发现当我们试图打开以aux或com1命名的文件夹时，explorer.exe失去了响应，而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中，从而达到隐藏、保护木马程序的目的。bbs.abcbit.comp#it)E[A|_ls.SW

0?&U'a@oT比特论坛　　现在，我们可以把文件复制到这个特殊的目录下，当然，不能直接在Windows中复制，需要采用特殊的方法，在CMD窗口中输入copy muma.exe \.c:aux\命令，就可以把木马文件muma.exe复制到C盘下的aux文件夹中，然后点击“开始”菜单中的“运行”，在“运行”中输入c:aux muam.exe，就会成功启动该木马。我们可以通过点击文件夹名进入此类特殊目录，不过，如果您要试图在资源管理器中删除它，会发现这根本就是徒劳的，Windows会提示找不到该文件。
HyX%w*~gf
*U!Fa/hJuhb1d#M　　由于使用del c:aux\命令可以删除其中的muma.exe文件，所以，为了达到更好的隐藏和保护效果，下木马者会把muma.exe文件也改名，让我们很难删除。具体方法就是在复制木马文件到aux文件夹时使用命令copy muma.exe \.c:con.exe，就可以把木马文件muma.exe复制到aux目录中，并且改名为con.exe，而con.exe文件是无法用普通方法删除的。
BrOwd比特论坛比特论坛2M6L9W9a1W8t
　　可能有的朋友会想，这个con.exe文件在“开始”菜单的“运行”中无法运行啊。其实不然，只要在命令行方式下输入cmd /c \.c:con就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过，下木马者一般来说会对其进行改进，方法有很多，可以利用开机脚本，也可以利用cmd.exe的autorun：在注册表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一个字串AutoRun，值为要运行的.bat文件或.cmd文件的路径，如c:winntsystem32auto.cmd，如果建立相应的文件，它的内容为@\.c:con，就可以达到隐蔽的效果。
-dU?%y)u R:Q:w5t"[
Li%k
QX/EIm
　　对于这类特殊的文件夹，发现后我们可以采用如下方法来删除它：先用del \.c:con.exe命令删除con.exe文件（该文件假设就是其中的木马文件名），然后再用rd \.c:aux命令删除aux文件夹即可。D@
A^m(XB
x;d
1|f/kqF
c*W
lC G
　　好了，文章到这里就结束了。由于水平有限，文中如有不正确或值得商榷的地方欢迎大家批评指点，另外，写作时曾参阅过网上高手们的帖子，受益匪浅，在此一并谢过！
0nEj ^@3c7P比特论坛
K6O {Z2B#P-x/j5O3n
A比特论坛
)l{-_zPV比特论坛　　不过，AutoRun不仅能应用于光盘中，同样也可以应用于硬盘中（要注意的是，AutoRun.inf必须存放在磁盘根目录下才能起作用）。让我们一起看看AutoRun.inf文件的内容吧。
*Ju3R.M
t;t/t5I,Q$To:B
　　打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：j-|h!vUC(B
m#G8x
h"^ l(pv
[AutoRun]
q`*P2u#tBUIcon=C:WindowsSystemShell32.DLL,21
Rh0E5J
_8d$VOpen=C:Program FilesACDSeeACDSee.exe
aN(jt)z其中，“[AutoRun]”是必须的固定格式，一个标准的AutoRun文件必须以它开头，目的是告诉系统执行它下面几行的命令；第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标，“Shell32.DLL”是包含很多Windows图标的系统文件，“21”表示显示编号为21的图标，无数字则默认采用文件中的第一个图标；第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。比特论坛}7[:R0zb'i8E"I

3Og%kt;W7n~5\ S　　如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性，我们点击硬盘时就会启动木马。#x
W} xgRrKL X
&i T{A a:i&H?A
　　为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机，设置就会生效。

Hkey_current_user\software\microsoft\windows nt\currentversion \windows 建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则，如c:\program files 应为c:\progra~11Y$J @'`0i
Jb
这种方式用优化大师看不到
:i&@1f Pz8[&X
C^1q----------2--------------------
4bm6P2^#`/d另一个注册表可以加启动项的位置
7N*~-T.Z)y.B6Lvbbs.abcbit.comHKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径 这样我门的程序就可以随系统启动了。

R/h$}iN&]比如我门的c:\windows\system32\下有个hehe.exe木马。bbs.abcbit.com;q9N;kk0l&sAc1C
g$[

ygw
B7h,M,Q比特论坛-------3-------------------------?Vn        N1p}i
Do
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”这个键值，这个键值默认为c:\WINNT\system32\userinit.exe，后面加路径，再加逗号也可以-h
a*Uw })@\

q?3ka
~K

J6v x2d`U        \#N.dV木马对文件关联的利用
3n#v9lS6T3wE6V
j [4h.N;q(q2W }1y　　我们知道，在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序，使之开机时自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。除了这种方法，还有一种修改注册表的方法也可以使程序自启动。wx"P+?OW

^%^
a\;Ubbs.abcbit.com　　具体说来，就是更改文件的打开方式，这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说，打开注册表，展开注册表到HKEY_CLASSES_ROOTexefileshell
K _,Ns.O
^2hJsopencommand，这里是exe文件的打开方式，默认键值为：“%1”%*。如果把默认键值改为Trojan.exe“%1”%*，您每次运行exe文件，这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式，而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。Z6xK%s4rJ|S\
#[(a3s%q(MD y6L
　　对付这种隐藏方法，主要是经常检查注册表，看文件的打开方式是否发生了变化。如果发生了变化，就将打开方式改回来。最好能经常备份注册表，发现问题后立即用备份文件恢复注册表，既方便、快捷，又安全、省事。
fB*f"p:X;j        c%[/H5X:@ b@5AYhB
tpAE:w^\ry
木马对设备名的利用8T&YMX+W
`G#~

?:b6q-zF*n'K　　大家知道，在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。
|8@,R)d;X
5yA7gI+S6e M

)b'_　　具体方法是：点击“开始”菜单的“运行”，输入cmd.exe，回车进入命令提示符窗口，然后输入md c:con\命令，可以建立一个名为con的目录。默认请况下，Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux\命令，可以建立aux目录，输入md c:prn\可以建立prn目录，输入md c:com1\目录可以建立Com1目录，而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试，您会发现当我们试图打开以aux或com1命名的文件夹时，explorer.exe失去了响应，而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中，从而达到隐藏、保护木马程序的目的。bbs.abcbit.comp#it)E[A|_ls.SW

0?&U'a@oT比特论坛　　现在，我们可以把文件复制到这个特殊的目录下，当然，不能直接在Windows中复制，需要采用特殊的方法，在CMD窗口中输入copy muma.exe \.c:aux\命令，就可以把木马文件muma.exe复制到C盘下的aux文件夹中，然后点击“开始”菜单中的“运行”，在“运行”中输入c:aux muam.exe，就会成功启动该木马。我们可以通过点击文件夹名进入此类特殊目录，不过，如果您要试图在资源管理器中删除它，会发现这根本就是徒劳的，Windows会提示找不到该文件。
HyX%w*~gf
*U!Fa/hJuhb1d#M　　由于使用del c:aux\命令可以删除其中的muma.exe文件，所以，为了达到更好的隐藏和保护效果，下木马者会把muma.exe文件也改名，让我们很难删除。具体方法就是在复制木马文件到aux文件夹时使用命令copy muma.exe \.c:con.exe，就可以把木马文件muma.exe复制到aux目录中，并且改名为con.exe，而con.exe文件是无法用普通方法删除的。
BrOwd比特论坛比特论坛2M6L9W9a1W8t
　　可能有的朋友会想，这个con.exe文件在“开始”菜单的“运行”中无法运行啊。其实不然，只要在命令行方式下输入cmd /c \.c:con就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过，下木马者一般来说会对其进行改进，方法有很多，可以利用开机脚本，也可以利用cmd.exe的autorun：在注册表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一个字串AutoRun，值为要运行的.bat文件或.cmd文件的路径，如c:winntsystem32auto.cmd，如果建立相应的文件，它的内容为@\.c:con，就可以达到隐蔽的效果。
-dU?%y)u R:Q:w5t"[
Li%k
QX/EIm
　　对于这类特殊的文件夹，发现后我们可以采用如下方法来删除它：先用del \.c:con.exe命令删除con.exe文件（该文件假设就是其中的木马文件名），然后再用rd \.c:aux命令删除aux文件夹即可。D@
A^m(XB
x;d
1|f/kqF
c*W
lC G
　　好了，文章到这里就结束了。由于水平有限，文中如有不正确或值得商榷的地方欢迎大家批评指点，另外，写作时曾参阅过网上高手们的帖子，受益匪浅，在此一并谢过！
0nEj ^@3c7P比特论坛
K6O {Z2B#P-x/j5O3n
A比特论坛
)l{-_zPV比特论坛　　不过，AutoRun不仅能应用于光盘中，同样也可以应用于硬盘中（要注意的是，AutoRun.inf必须存放在磁盘根目录下才能起作用）。让我们一起看看AutoRun.inf文件的内容吧。
*Ju3R.M
t;t/t5I,Q$To:B
　　打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：j-|h!vUC(B
m#G8x
h"^ l(pv
[AutoRun]
q`*P2u#tBUIcon=C:WindowsSystemShell32.DLL,21
Rh0E5J
_8d$VOpen=C:Program FilesACDSeeACDSee.exe
aN(jt)z其中，“[AutoRun]”是必须的固定格式，一个标准的AutoRun文件必须以它开头，目的是告诉系统执行它下面几行的命令；第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标，“Shell32.DLL”是包含很多Windows图标的系统文件，“21”表示显示编号为21的图标，无数字则默认采用文件中的第一个图标；第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。比特论坛}7[:R0zb'i8E"I

3Og%kt;W7n~5\ S　　如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性，我们点击硬盘时就会启动木马。#x
W} xgRrKL X
&i T{A a:i&H?A
　　为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机，设置就会生效。

好！回头慢慢看。