分析關於木馬隱藏一個的新方法(轉)

分析關於木馬隱藏一個的新方法(轉)[@more@]大家所熟知的木馬程式一般的啟動方式有：載入到“開始”選單中的“啟動”項、記錄到登錄檔的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion[Run項中，更高階的木 馬還會註冊為系統的“服務”程式，以上這幾種啟動方式都可以在“系統配置實用程式”（在“開始→執行”中執行“Msconfig”）的“啟動”項和“服務”項中找到它的蹤跡。
　　
　　另一種鮮為人知的啟動方式，是在“開始→執行”中執行“Gpedit.msc”。 開啟“組策略”，可看到“本地計算機策略”中有兩個選項：“計算機配置”與“使用者配置”，展開“使用者配置→管理模板→系統→登入”，雙擊“在使用者登入時執行這些程式”子項進行屬性設定，選定“設定”項中的“已啟用”項並單擊“顯示”按鈕彈出“顯示內容”視窗，再單擊“新增”按鈕，在“新增專案”視窗內的文字框中輸入要自啟動的程式的路徑，單擊“確定”按鈕就完成了。
　　
　　重新啟動計算機，系統在登入時就會自動啟動你新增的程式，如果剛才新增的是木馬程式，那麼一個“隱形”木馬就這樣誕生了。因為用這種方式新增的自啟動程式在系統的“系統配置實用程式”是找不到的，同樣在我們所熟知的登錄檔項中也是找不到的，所以非常危險。
　　
　　透過這種方式新增的自啟動程式雖然被記錄在登錄檔中，但是不在我們所熟知的登錄檔的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion[Run項內，而是在登錄檔的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun項。如果你懷疑你的電腦被種了“木馬”，可是又找不到它在哪兒，建議你到登錄檔的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun項裡找找吧，或是進入“組策略”的“在使用者登入時執行這些程式”看看有沒有啟動的程式。