我知道有兩個(gè)辦法可以實(shí)現(xiàn)：

一：在“開始→運(yùn)行”中鍵入“gpedit.msc”，啟動(dòng)“組策略”，展開“用戶配置→管理模板→系統(tǒng)→登錄”，啟用“在用戶登錄時(shí)運(yùn)行這些程序”項(xiàng)，并單擊“顯示”按鈕，添加某個(gè)程序，重新登錄后該程序就會(huì)自動(dòng)運(yùn)行。

（此法在注冊(cè)表中不會(huì)有啟動(dòng)項(xiàng)，用第三方軟件也檢測(cè)不出來嘿嘿^_^不錯(cuò)）

二:在“開始→運(yùn)行”中鍵入“regedit”，我們找到HKEY_LOCAL_MACHINE/SHOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon里面的Shell鍵值雙擊打開在“Explorer.exe”的后面加上我們程序的路徑，比如要設(shè)置D:/123.EXE為自啟動(dòng)程序，即SHELL鍵值中的內(nèi)容為“explorer.exe d:/123.exe”（中間有個(gè)空格喔）那么我們這樣程序就可以隨系統(tǒng)啟動(dòng)了

【推薦】知馬識(shí)馬不養(yǎng)馬

為了保護(hù)自己，木馬會(huì)想盡辦法來隱藏自己。以往，木馬通常會(huì)通過“開始”菜單的“啟動(dòng)”項(xiàng)或注冊(cè)表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項(xiàng)和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun項(xiàng)來啟動(dòng)自己，也有的木馬會(huì)注冊(cè)為系統(tǒng)的“服務(wù)”程序，而那些老舊的方法，比如在Autoexec.bat、Config.sys、Winstart.bat、Win.ini、System.ini、Wininit.ini等文件中加載木馬程序，大家更是耳熟能詳。

不過，隨著木馬技術(shù)的發(fā)展，木馬的隱藏方法已經(jīng)變得越來越高明了。所謂“知己知彼，百戰(zhàn)不殆”，要想防“馬”，當(dāng)然要先“知”馬。下面，筆者就為您介紹一些鮮為人知的木馬隱藏方法。

“組策略”中的木馬

通過“組策略”來加載木馬這種方式非常隱蔽，不易為人發(fā)現(xiàn)。具體方法是：

點(diǎn)擊“開始”菜單中的“運(yùn)行”，輸入Gpedit.msc，打開“組策略”。在“本地計(jì)算機(jī)策略”中順次點(diǎn)擊“用戶配置”→“管理模板”→“系統(tǒng)”→“登錄”，然后雙擊“在用戶登錄時(shí)運(yùn)行這些程序”子項(xiàng)，出現(xiàn)對(duì)話框.

在這里進(jìn)行屬性設(shè)置，選定“設(shè)置”中的“已啟用”，單擊“顯示”按鈕，會(huì)彈出“顯示內(nèi)容”窗口。單擊“添加”按鈕，出現(xiàn)“添加項(xiàng)目”窗口，在其中的文本框中輸入要自動(dòng)運(yùn)行的文件所在的路徑，單擊“確定”按鈕后重新啟動(dòng)計(jì)算機(jī)，系統(tǒng)便會(huì)在登錄時(shí)自動(dòng)運(yùn)行所添加的程序。

提示：如果自啟動(dòng)的文件不是位于%Systemroot%目錄中，則必須指定文件的完整、有效路徑。

如果我們剛才在“組策略”中添加的是木馬，就會(huì)出現(xiàn)一個(gè)“隱形”的木馬。在“系統(tǒng)配置實(shí)用程序”Msconfig中，我們是無法發(fā)現(xiàn)該木馬的，因?yàn)樵谧?cè)表項(xiàng)中，如HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run項(xiàng)和HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun項(xiàng)，根本找不到相應(yīng)的鍵值。所以說，這種加載木馬的方式是非常隱蔽的，對(duì)普通用戶的危脅也非常大。

實(shí)際上，通過這種方式添加的自啟動(dòng)程序依然會(huì)被記錄在注冊(cè)表中，只不過不是在我們所熟悉的那些注冊(cè)表項(xiàng)下，而是在注冊(cè)表的HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionPoliciesExplorerRun項(xiàng)中加載。所以，如果您懷疑自己的電腦中有木馬，卻找不到它躲在哪兒，可以到上述的注冊(cè)表項(xiàng)中去看一看，或者到“組策略”的“用戶配置→管理模板→系統(tǒng)→登錄”下的“在用戶登錄時(shí)運(yùn)行這些程序”中查看一下，也許會(huì)有所發(fā)現(xiàn)。

?

利用注冊(cè)表項(xiàng)加載木馬一直是木馬的最愛，也是我們所熟知的一種手段，不過，有一種新的利用注冊(cè)表來隱藏木馬的方法您可能還不知道。具體方法是：

點(diǎn)擊“開始”菜單中的“運(yùn)行”，輸入Regedit，打開注冊(cè)表編輯器。展開注冊(cè)表到HKEY_CURRENT_USERSoftware MicrosoftWindows NTCurrentVersionWindows項(xiàng)，新建一個(gè)字符串值，命名為“l(fā)oad”，把它的鍵值改為要自啟動(dòng)程序的路徑即可。

提示：要使用文件的短文件名，即“C:Program Files”應(yīng)該寫為“C:Progra~1”，且自啟動(dòng)程序的后面不能帶有任何參數(shù)。如果改在注冊(cè)表HKEY_USERS用戶ID號(hào)Software MicrosoftWindows NTCurrentVersionWindows項(xiàng)加載，則本方法對(duì)其他用戶也有效，否則換個(gè)用戶名登錄就不管用了。

用這種方法加載木馬，在Windows優(yōu)化大師的“開機(jī)速度優(yōu)化”選項(xiàng)中將無法看到有木馬程序被加載，如果被有心人利用在這里加載惡意程序或木馬，對(duì)大家的威脅將很大。

建議大家以后檢查木馬及病毒程序時(shí)特別注意這部分，不給別人可乘之機(jī)。另外，這個(gè)方法只對(duì)Windows 2000/XP/2003有效，使用Windows 9x的用戶不用擔(dān)心。

利用AutoRun.inf加載木馬

經(jīng)常使用光盤的朋友都知道，某些光盤放入光驅(qū)后會(huì)自動(dòng)運(yùn)行，這種功能的實(shí)現(xiàn)主要靠?jī)蓚€(gè)文件，一個(gè)是系統(tǒng)文件之一的Cdvsd.vxd，一是光盤上的AutoRun.inf文件。Cdvsd.vxd會(huì)隨時(shí)偵測(cè)光驅(qū)中是否有放入光盤的動(dòng)作，如果有，便尋找光盤根目錄下的AutoRun.inf文件。如果存在，就執(zhí)行里面的預(yù)設(shè)程序。

不過，AutoRun不僅能應(yīng)用于光盤中，同樣也可以應(yīng)用于硬盤中（要注意的是，AutoRun.inf必須存放在磁盤根目錄下才能起作用）。讓我們一起看看AutoRun.inf文件的內(nèi)容吧。

打開記事本，新建一個(gè)文件，將其命名為AutoRun.inf，在AutoRun.inf中鍵入以下內(nèi)容：

[AutoRun]

Icon=C:WindowsSystemShell32.DLL,21

Open=C:Program FilesACDSeeACDSee.exe

其中，“[AutoRun]”是必須的固定格式，一個(gè)標(biāo)準(zhǔn)的AutoRun文件必須以它開頭，目的是告訴系統(tǒng)執(zhí)行它下面幾行的命令；第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設(shè)定一個(gè)個(gè)性化的圖標(biāo)，“Shell32.DLL”是包含很多Windows圖標(biāo)的系統(tǒng)文件，“21”表示顯示編號(hào)為21的圖標(biāo)，無數(shù)字則默認(rèn)采用文件中的第一個(gè)圖標(biāo)；第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運(yùn)行程序的路徑及其文件名。

如果把Open行換為木馬文件，并將這個(gè)AutoRun.inf文件設(shè)置為隱藏屬性，我們點(diǎn)擊硬盤時(shí)就會(huì)啟動(dòng)木馬。

為防止遭到這樣的“埋伏”，可以禁止硬盤AutoRun功能。在“開始”菜單的“運(yùn)行”中輸入Regedit，打開注冊(cè)表編輯器，展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下，在右側(cè)窗口中找到“NoDriveTypeAutoRun”，就是它決定了是否執(zhí)行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關(guān)閉硬盤的AutoRun功能，如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改后重新啟動(dòng)計(jì)算機(jī)，設(shè)置就會(huì)生效。

屏幕保護(hù)也可能成為木馬的幫兇

Windows的屏幕保護(hù)程序?qū)?yīng)的是.scr文件，它是PE格式的可執(zhí)行文件，在默認(rèn)情況下保存在Windows的安裝目錄下。如果把.scr更名為.exe文件，該程序仍然可以正常啟動(dòng)，.exe文件更名為.scr文件也照樣可以運(yùn)行。順便提一下，把.exe文件改名為.com、.pif、.bat后，exe文件仍舊可以自由運(yùn)行。這在exe文件關(guān)聯(lián)丟失后非常有用。

在屏幕保護(hù)程序中，我們可以設(shè)定它的等待時(shí)間，這個(gè)啟動(dòng)時(shí)間其實(shí)是可以在注冊(cè)表中設(shè)定的。在注冊(cè)表項(xiàng) HKEY_USERS.DEFAULTControl Paneldesktop下面的字符串值ScreenSaveTimeOut記錄的就是屏保程序的等待時(shí)間，時(shí)間單位為秒，從60秒開始記錄，如果記錄時(shí)間小于60秒，則自動(dòng)定為1分鐘。

提示：是否選擇了屏幕保護(hù)程序可以在system.ini文件中看出來。在“開始”菜單的“運(yùn)行”中輸入msconfig，找到System標(biāo)簽，找到里面的[boot]小節(jié)，可以看到有“SCRNSAVE.EXE=”這一行。在它后面是屏保文件的路徑。如果您設(shè)定了屏保程序，這一行前面就會(huì)有一個(gè)“√”，反之則沒有“√”。

由上面的介紹可以產(chǎn)生一種聯(lián)想：如果把.exe文件重命名為.scr文件（假設(shè)改為trojan.scr），并在System.ini中添加“SCANSAVE.EXE=C:Program files rojan.scr”，然后修改注冊(cè)表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字符串值ScreenSaveTimeOut，把其鍵值改為60，則系統(tǒng)只要閑置一分鐘該文件就會(huì)被啟動(dòng)。

防范這種攻擊的方法就是禁止使用屏幕保護(hù)功能。要想一次性取消屏幕保護(hù)功能，可以通過修改注冊(cè)表來實(shí)現(xiàn)。打開注冊(cè)表編輯器，找到HKEY_CURRENT_USER ControlPaneldesktopScreenSaveActive子鍵，將“ScreenSaveActive”改為“0”，就可以禁止使用屏幕保護(hù)功能。

控制面板中的木馬

控制面板的各個(gè)選項(xiàng)實(shí)際上是以后綴名為cpl的文件單獨(dú)存在的，再加上Windows安裝目錄中的control.exe和control.ini文件，就構(gòu)成控制面板的全部組成部分。

每一個(gè)cpl文件都對(duì)應(yīng)“控制面板”中的一個(gè)選項(xiàng)，例如desk.cpl對(duì)應(yīng)“桌面屬性”、inetcpl.cpl對(duì)應(yīng)“Internet屬性”等。由于.cpl文件的特殊性，需要使用RunDll32.exe來啟動(dòng)該文件，換句話說，控制面板中的任何一個(gè)選項(xiàng)都可以通過RunDll32.exe來調(diào)用。

RunDll32.exe的一項(xiàng)強(qiáng)大功能就是對(duì)控制面板的管理，用它調(diào)用控制面板程序的格式如下：在“開始”菜單的“運(yùn)行”中或命令行下輸入“RunDll32 shell32.dll,Control_RunDLL *.cpl,,X”。其中，shell32.dll為被調(diào)用的DLL文件，意思為調(diào)用shell32.dll中的Control_RunDLL來打開desk.cpl文件；“*.cpl”為您想調(diào)用的cpl文件的路徑和文件名；而“X”為對(duì)應(yīng)cpl文件的頁數(shù)，從0開始，0為第一頁（如desk.cpl,,0代表“顯示 屬性”的“背景”），1為第二頁（如desk.cpl,,1代表“顯示 屬性”的“屏幕保護(hù)程序”），依此類推。

提示：shell32.dll和Control_RunDLL兩者之間只能以“,”分隔，逗號(hào)之后不能有空格，如果這里出錯(cuò)的話，不會(huì)得到任何提示。

根據(jù)上面的原理，我們可以自己寫一個(gè)無窗口或隱藏窗口的控制面板程序，將其寫進(jìn)注冊(cè)表的啟動(dòng)項(xiàng)，使之可以自啟動(dòng)。如果您編寫的控制面板程序是木馬的話，則不僅中木馬者無法發(fā)現(xiàn)，就連木馬克星等專門查殺木馬的軟件也會(huì)不知所措。

具體步驟就是在注冊(cè)表啟動(dòng)項(xiàng)中加入RunDll32 shell32.dll、Control_RunDll mycpl.cpl，這樣，這個(gè)mycpl.cpl就會(huì)在用戶機(jī)器啟動(dòng)的時(shí)候被調(diào)用。（注：如果mycpl.cpl保存在默認(rèn)目錄中，可以不加路徑直接調(diào)用，否則必須加上路徑。）控制面板在執(zhí)行的時(shí)候會(huì)加載System子目錄中的所有*.cpl文件，所以只要把這個(gè)cpl木馬放在System（Windows 9x）或System32（Windows 2000/XP）子目錄中就可以達(dá)到目的。要提醒大家的是，如果mycpl.cpl真是木馬的話，那么別人一定會(huì)給它改個(gè)名字，或替換掉系統(tǒng)中那些不常用的cpl文件，使您疏于察覺。

是不是只有把cpl文件放到System（Windows 9x）或System32（Windows 2000/XP）子目錄下才會(huì)被加載呢？答案是否定的。如果您的控制面板程序不在Windows目錄，假設(shè)在D:ok下，想讓它在控制面板里顯示，只需編輯control.ini文件，在[MMCPL]小節(jié)里面加入“mycpl.cpl=D:okmycpl.cpl”就可以了。如果不想讓cpl文件顯示在控制面板中，依然要從control.ini文件入手，只需在[don't load]小節(jié)中加入“mycpl.cpl=no”，這個(gè)mycpl.cpl文件就不會(huì)被加載了。

如果有人利用這種方式進(jìn)行攻擊，防范方法是經(jīng)常檢查注冊(cè)表的啟動(dòng)項(xiàng)，發(fā)現(xiàn)用RunDll32.exe調(diào)用的.cpl文件就殺無赦。在將這個(gè)注冊(cè)表鍵值刪除后，還要按鍵值提供的路徑找到這個(gè)cpl文件，把它也刪除掉。

可怕的超長(zhǎng)目錄中隱藏的木馬

給我們下木馬的人要想在我們的電腦中隱藏木馬文件，會(huì)絞盡腦汁，利用Windows系統(tǒng)建立超長(zhǎng)目錄然后在其中隱藏木馬就是手段之一。

我們可以做這樣一個(gè)試驗(yàn)：打開“資源管理器”，在任意一個(gè)磁盤（假設(shè)是E盤）下建立一個(gè)目錄，假設(shè)為good，然后進(jìn)入此目錄，在下面再建立一個(gè)子目錄，假設(shè)為123，然后在123子目錄下建立一個(gè)子目錄test，現(xiàn)在test這個(gè)目錄的絕對(duì)路徑就是：E:goodS est。接下來把您要隱藏的目錄和文件都拷貝test子目錄下。然后點(diǎn)擊“向上”按鈕，來到123子目錄，對(duì)著它點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“重命名”，把這個(gè)123子目錄改名為“1111……1111”，能寫多長(zhǎng)就寫多長(zhǎng)。接下來點(diǎn)擊“向上”按鈕，來到good目錄，用同樣的辦法把它也重命名，假設(shè)改名為goodluck123，現(xiàn)在test子目錄的絕對(duì)路徑就是E:goodluck123I1……1111 est。這時(shí)，當(dāng)您想訪問該目錄時(shí)，會(huì)出現(xiàn)一個(gè)提示：無法訪問此文件夾，路徑太長(zhǎng).

而且，這個(gè)目錄在視窗界面下無法看到里面的內(nèi)容，在DOS下同樣如此，所以，該目錄和里面的文件就被巧妙地隱藏起來了。誰能想到里面會(huì)有個(gè)test子目錄呢，誰能想到test子目錄下還有文件和文件夾呢？木馬文件就這樣巧妙地隱藏起來了。

為什么會(huì)這樣呢？其實(shí)，這只是利用了Windows系統(tǒng)的一個(gè)小Bug，即Windows目錄的絕對(duì)路徑不能超過254個(gè)字符，如果您建立的目錄的絕對(duì)路徑超過254個(gè)字符的話，系統(tǒng)是看不到的。反過來講，系統(tǒng)也不允許您直接建立一個(gè)絕對(duì)路徑長(zhǎng)度超過254個(gè)字符的目錄，而我們前面所做的就是迂回地建立了一個(gè)目錄，其絕對(duì)路徑超過了254個(gè)字符，所以別人就無法訪問里面包含的子目錄和文件了，變相地把目錄和文件隱藏了起來。更妙的是，整個(gè)目錄根本無法直接刪除，進(jìn)行刪除操作時(shí)會(huì)彈出一個(gè)窗口，提示我們“無法刪除*.*:找不到文件。請(qǐng)確定指定的路徑及文件名是否正確”，在DOS下或是使用工具軟件Windows Commander等也同樣無法刪除該目錄。

讓我們?cè)儆闷渌浖頇z視一下利用這種方法來隱藏木馬的效果如何。大家知道，一般的隱藏文件或目錄的方法，如特殊空格法、給文件夾設(shè)定一個(gè)空白圖標(biāo)法、修改注冊(cè)表隱藏目錄法等，都會(huì)在文件管理軟件Windows Commander、看圖軟件ACDSee或壓縮軟件WinZIP或WinRAR中顯露原形。而用本方法隱藏的目錄不會(huì)被顯示在上述軟件中，它們只能看到受保護(hù)文件夾的上一層目錄，而無法看到里面隱藏的內(nèi)容。

以ACDSee為例，左上窗口有Windows樹型目錄結(jié)構(gòu)，右邊主窗口能顯示文件夾中的文件，包括具有“隱藏”屬性的文件。找到我們隱藏目錄和文件的那個(gè)E盤，看，根本無法看到goodluck123文件夾里面的test目錄，如圖3所示。同理，使用殺毒軟件也無法掃描該文件夾的內(nèi)容，在資源管理器中也無法刪除該目錄。

為了更好地隱藏木馬文件，入侵者還可能在此方法的基礎(chǔ)上略微變通一下。比如，進(jìn)入C: ecycled（回收站）目錄下，用文中剛開始提到的方法建立超長(zhǎng)目錄，并把要隱藏的木馬文件移動(dòng)到其中，選定這些文件后按右鍵，在彈出菜單中選擇“屬性”，將其屬性設(shè)置為“隱藏”，這樣，在Windows中就看不到這些文件了，清空回收站也依然存在。而且，入侵者利用特殊文件夾同樣可以取得這樣的功效，比如C:windows onts等。

接下來修改一下注冊(cè)表，讓文件更徹底地隱藏起來。在“開始”菜單的“運(yùn)行”中輸入Regedit，打開注冊(cè)表編輯器，展開到HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支，修改DWORD值CheckedValue的鍵值為0（默認(rèn)為1，如果沒有該DWORD值，可以新建），如圖4所示，關(guān)閉注冊(cè)表編輯器，按F5鍵刷新桌面，這些文件就隱藏得更深了。我們進(jìn)入隱藏文件的那個(gè)回收站后，將什么都看不到。

利用這種方法隱藏目錄和文件非常巧妙，原因有三：一是別人想不到回收站中藏有秘密；二是修改注冊(cè)表后這些隱藏起來的文件和目錄更隱蔽了，在Windows下根本發(fā)現(xiàn)不了；三是即便發(fā)現(xiàn)了這些隱藏的目錄和文件，也會(huì)由于絕對(duì)路徑太長(zhǎng)而無法進(jìn)入該目錄查看文件。這就讓木馬可以在我們的電腦中“安居樂業(yè)”了。

對(duì)方要在我們的電腦中建立如此特殊的目錄，必定要進(jìn)行遠(yuǎn)程操作，所以我們平時(shí)必須要及時(shí)給系統(tǒng)打補(bǔ)丁，把系統(tǒng)漏洞都堵上，再安裝上網(wǎng)絡(luò)防火墻，不隨意瀏覽不了解的網(wǎng)頁，不隨意查看陌生的電子郵件，做到這些，對(duì)普通用戶來說就會(huì)安全多了。

如果發(fā)現(xiàn)系統(tǒng)中有這樣特殊的文件夾存在，只要給最外層的目錄改名，比方說將goodluck123改名為g，然后就可以進(jìn)入下一級(jí)目錄，進(jìn)而可以進(jìn)入test子目錄，進(jìn)行相關(guān)的操作。當(dāng)然，您也可以自己編寫一個(gè)程序來讀這個(gè)目錄。

木馬對(duì)文件關(guān)聯(lián)的利用

我們知道，在注冊(cè)表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序，使之開機(jī)時(shí)自動(dòng)運(yùn)行，類似“Run”這樣的子鍵在注冊(cè)表中還有幾處，均以“Run”開頭，如RunOnce、RunServices等。除了這種方法，還有一種修改注冊(cè)表的方法也可以使程序自啟動(dòng)。

具體說來，就是更改文件的打開方式，這樣就可以使程序跟隨您打開的那種文件類型一起啟動(dòng)。舉例來說，打開注冊(cè)表，展開注冊(cè)表到HKEY_CLASSES_ROOTexefileshell

opencommand，這里是exe文件的打開方式，默認(rèn)鍵值為：“%1”%*。如果把默認(rèn)鍵值改為Trojan.exe“%1”%*，您每次運(yùn)行exe文件，這個(gè)Trojan.exe文件就會(huì)被執(zhí)行。木馬灰鴿子就采用關(guān)聯(lián)exe文件的打開方式，而大名鼎鼎的木馬冰河采用的是也與此相似的一招——關(guān)聯(lián)txt文件。

對(duì)付這種隱藏方法，主要是經(jīng)常檢查注冊(cè)表，看文件的打開方式是否發(fā)生了變化。如果發(fā)生了變化，就將打開方式改回來。最好能經(jīng)常備份注冊(cè)表，發(fā)現(xiàn)問題后立即用備份文件恢復(fù)注冊(cè)表，既方便、快捷，又安全、省事。

木馬對(duì)設(shè)備名的利用

大家知道，在Windows下無法以設(shè)備名來命名文件或文件夾，這些設(shè)備名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有個(gè)漏洞可以以設(shè)備名來命名文件或文件夾，讓木馬可以躲在那里而不被發(fā)現(xiàn)。

具體方法是：點(diǎn)擊“開始”菜單的“運(yùn)行”，輸入cmd.exe，回車進(jìn)入命令提示符窗口，然后輸入md c:con/命令，可以建立一個(gè)名為con的目錄。默認(rèn)請(qǐng)況下，Windows是無法建立這類目錄的，正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux/命令，可以建立aux目錄，輸入md c:prn/可以建立prn目錄，輸入md c:com1/目錄可以建立Com1目錄，而輸入md c: ul/則可以建立一個(gè)名為nul的目錄。在資源管理器中依次點(diǎn)擊試試，您會(huì)發(fā)現(xiàn)當(dāng)我們?cè)噲D刪除以aux或com1命名的文件夾時(shí)，explorer.exe失去了響應(yīng)，而許多“牧馬人”就是利用這個(gè)方法將木馬隱藏在這類特殊的文件夾中，從而達(dá)到隱藏、保護(hù)木馬程序的目的。

現(xiàn)在，我們可以把文件復(fù)制到這個(gè)特殊的目錄下，當(dāng)然，不能直接在Windows中復(fù)制，需要采用特殊的方法，在CMD窗口中輸入copy muma.exe /.c:aux/命令，就可以把木馬文件muma.exe復(fù)制到C盤下的aux文件夾中，然后點(diǎn)擊“開始”菜單中的“運(yùn)行”，在“運(yùn)行”中輸入c:aux muam.exe，就會(huì)成功啟動(dòng)該木馬。我們可以通過點(diǎn)擊文件夾名進(jìn)入此類特殊目錄，不過，如果您要試圖在資源管理器中刪除它，會(huì)發(fā)現(xiàn)這根本就是徒勞的，Windows會(huì)提示找不到該文件。

由于使用del c:aux/命令可以刪除其中的muma.exe文件，所以，為了達(dá)到更好的隱藏和保護(hù)效果，下木馬者會(huì)把muma.exe文件也改名，讓我們很難刪除。具體方法就是在復(fù)制木馬文件到aux文件夾時(shí)使用命令copy muma.exe /.c:con.exe，就可以把木馬文件muma.exe復(fù)制到aux目錄中，并且改名為con.exe，而con.exe文件是無法用普通方法刪除的。

可能有的朋友會(huì)想，這個(gè)con.exe文件在“開始”菜單的“運(yùn)行”中無法運(yùn)行啊。其實(shí)不然，只要在命令行方式下輸入cmd /c /.c:con就可以運(yùn)行這個(gè)程序了。在運(yùn)行時(shí)會(huì)有一個(gè)cmd窗口一閃而過，下木馬者一般來說會(huì)對(duì)其進(jìn)行改進(jìn)，方法有很多，可以利用開機(jī)腳本，也可以利用cmd.exe的autorun：在注冊(cè)表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個(gè)字串AutoRun，值為要運(yùn)行的.bat文件或.cmd文件的路徑，如c:winntsystem32auto.cmd，如果建立相應(yīng)的文件，它的內(nèi)容為@/.c:con，就可以達(dá)到隱蔽的效果。

對(duì)于這類特殊的文件夾，發(fā)現(xiàn)后我們可以采用如下方法來刪除它：先用del /.c:con.exe命令刪除con.exe文件（該文件假設(shè)就是其中的木馬文件名），然后再用rd /.c:aux命令刪除aux文件夾即可。

?

?

啟動(dòng)項(xiàng)分解

1）“啟動(dòng)”文件夾──最常見的自啟動(dòng)程序文件夾。

? ?? ? 它位于系統(tǒng)分區(qū)的“documents and Settings－－>User－－>〔開始〕菜單－－>程序”目錄下。這時(shí)的User指的是登錄的用戶名。

2）“All Users”中的自啟動(dòng)程序文件夾──另一個(gè)常見的自啟動(dòng)程序文件夾。

? ?? ? 它位于系統(tǒng)分區(qū)的“documents and Settings－－>All User－－>〔開始〕菜單－－>程序”目錄下。前面提到的“啟動(dòng)”文件夾運(yùn)行的是登錄用戶的自啟動(dòng)程序，而“All Users”中啟動(dòng)的程序是在所有用戶下都有效（不論你用什么用戶登錄）。

3）“Load”鍵值── 一個(gè)埋藏得較深的注冊(cè)表鍵值。

? ?? ? 位于〔HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/load〕主鍵下。

4）“Userinit”鍵值──用戶相關(guān)

? ?? ? 它則位于〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit〕主鍵下，也是用于系統(tǒng)啟動(dòng)時(shí)加載程序的。一般情況下，其默認(rèn)值為“userinit.exe”，由于該子鍵的值中可使用逗號(hào)分隔開多個(gè)程序，因此，在鍵值的數(shù)值中可加入其它程序。

5）“Explorer/Run”鍵值──與“l(fā)oad”和“Userinit”兩個(gè)鍵值不同的是，“Explorer/Run”同時(shí)位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個(gè)根鍵中。

? ?? ? 它在兩個(gè)中的位置分別為（HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run〕和〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run〕下。

6）“RunServicesOnce”子鍵──它在用戶登錄前及其它注冊(cè)表自啟動(dòng)程序加載前面加載。

? ?? ? 這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce〕和〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce〕下。

7）“RunServices”子鍵──它也是在用戶登錄前及其它注冊(cè)表自啟動(dòng)程序加載前面加載。

? ?? ? 這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices〕和〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices〕下。

8）“RunOnce/Setup”子鍵──其默認(rèn)值是在用戶登錄后加載的程序。

? ?? ? 這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup〕和〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup〕下。

9）“RunOnce”子鍵──許多自啟動(dòng)程序要通過RunOnce子鍵來完成第一次加載。

? ?? ? 這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce〕和〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce〕下。位于〔HKEY_CURRENT_USER〕根鍵下的RunOnce子鍵在用戶登錄扣及其它注冊(cè)表的Run鍵值加載程序前加載相關(guān)程序，而位于〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在操作系統(tǒng)處理完其它注冊(cè)表Run子鍵及自啟動(dòng)文件夾內(nèi)的程序后再加載的。在Windows XP中還多出一個(gè)〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnceEX〕子鍵，其道理相同。

10）“Run”子鍵──目前最常見的自啟動(dòng)程序用于加載的地方。

? ?? ? 這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run〕和〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run〕下。

其中位于〔HKEY_CURRENT_USER〕根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動(dòng)，但兩個(gè)鍵值都是在“啟動(dòng)”文件夾之前加載。

11）再者就是Windows中加載的服務(wù)了，它的級(jí)別較高，用于最先加載。

? ?? ? 其位于〔HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services〕下，看到了嗎，你所有的系統(tǒng)服務(wù)加載程序都在這里了！

12）Windows Shell──系統(tǒng)接口

? ?? ? 它位于〔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/〕下面的Shell字符串類型鍵值中，基默認(rèn)值為Explorer.exe，當(dāng)然可能木馬程序會(huì)在此加入自身并以木馬參數(shù)的形式調(diào)用資源管理器，以達(dá)到欺騙用戶的目的。

13）BootExecute──屬于啟動(dòng)執(zhí)行的一個(gè)項(xiàng)目

可以通過它來實(shí)現(xiàn)啟動(dòng)Natvice程序，Native程序在驅(qū)動(dòng)程序和系統(tǒng)核心加載后將被加載，此時(shí)會(huì)話管理器(smss.exe)進(jìn)行windowsNT用戶模式并開始按順序啟動(dòng)native程序

? ?? ? 它位于注冊(cè)表中〔HKEY_LOCAL_MACHINE/System/ControlSet001/Session Manager/〕下面，有一個(gè)名為BootExecute的多字符串值鍵，它的默認(rèn)值是"autocheck autochk *"，用于系統(tǒng)啟動(dòng)時(shí)的某些自動(dòng)檢查。這個(gè)啟動(dòng)項(xiàng)目里的程序是在系統(tǒng)圖形界面完成前就被執(zhí)行的，所以具有很高的優(yōu)先級(jí)。

14）策略組加載程序──打開Gpedit.msc，展開“用戶配置——管理模板——系統(tǒng)——登錄”，就可以看到“在用戶登錄時(shí)運(yùn)行這些程序”的項(xiàng)目，你可以在里面添加。

? ?? ? 在注冊(cè)表中[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/本地User/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]你也可以看到相對(duì)應(yīng)的鍵值。

regedit

HKEY_CURRENT_USER/Software/Midrosoft/Windows NT/CurrentVersion/WinLogon 雙擊右側(cè)中的“ParseAutoexec”字符串值項(xiàng)（如果沒有的話就新建一個(gè)），將其“數(shù)值數(shù)據(jù)”由默認(rèn)的“0”修改為“1”，退出注冊(cè)表，即可讓windows XP/2000/2003啟動(dòng)時(shí)運(yùn)行Autoexec.bat

0代表不運(yùn)行， 1代表運(yùn)行

總結(jié)

以上是生活随笔為你收集整理的将程序加入启动项的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。