“木马”的隐藏技俩与检查清除的方法技巧

系统中的“木马”是一个令人头疼的问题。我们先介绍一下木马程序的隐藏技术和自动加载方法，然后再介绍针对这些技术的对策。
木马程序隐藏自己的方式
木马程序会想尽办法隐藏自己。主要的方式有:
在任务栏中隐藏自己，这是最基本的。只要Form的Visible属性设置为False，ShowInTaskBar设置为False，程序运行时就不会出现在任务栏中。
任务管理器中的隐形:木马可以通过将程序设置为“系统服务”来轻松伪装自己。当然，也会悄悄开始。用户不会在每次开机时都点击“木马”图标来运行服务器，所以“木马”会在用户每次开机时自动加载服务器。木马会利用Windows系统启动时自动加载应用程序的方法，如:startup group、win.ini、system.ini、registry等。都是“特洛伊木马”的藏身之处。
检查“木马”是否自动加载
在win.ini文件中，在[WINDOWS]下，“run=”和“load=”是加载“木马”程序的可能方式。你必须仔细注意它们。一般来说，它们的等号后面没有什么。如果您发现它们后面的路径和文件名不是您熟悉的启动文件，您的计算机可能中了特洛伊木马。当然，你要看清楚，因为很多“木马”，比如“AOLTrojan Horse”，都是把自己伪装成command.exe文件，如果你不注意，可能发现不了它们不是真正的系统启动文件。
在system.ini文件中，[BOOT]下有一个“shell=文件名”。正确的文件名应该是“explorer.exe”。如果不是“explorer.exe”而是“shell=explorer.exe程序名”，那么后面的程序就是“木马”程序，说明你已经中了木马。
注册表中的情况是最复杂的。通过regedit命令打开注册表编辑器，点击至:“HKEY-local-machinesoftwaresoftwidowcurrentversionrun”目录，查看键值中是否有不熟悉的自动启动文件，扩展名为EXE。这里要记住:有些“木马”程序生成的文件与系统本身的文件非常相似，想通过伪装蒙混过关，比如“AcidBatteryv1.0木马”。将浏览器在其注册表中的键值“key本地-机器软件多媒体windows currentversionrun”改为Explorer = " c:windows Explorer . exe "，木马程序和真正的浏览器只有“I”和“L”的区别。当然，注册表中有很多地方可以隐藏“木马”程序，比如“HKEY-当前-用户软件微软Windows当前版本Run”和“HKEY-用户* * *软件微软Windows当前版本Run”，解决方法是在“HKEY-本地-机器软件隐私窗口当前版本run”下找到“木马”程序的文件名，然后搜索整个注册表。
查杀木马
了解了木马的工作原理，查杀木马就很容易了。
如果发现“木马”，最安全有效的方法就是立即断开电脑与网络的连接，防止黑客通过网络攻击你。
然后编辑win.ini文件，将[WINDOWS]下的“run=木马程序”或“load=木马程序”改为“run=”和“load =”；
编辑system.ini文件，将[BOOT]下的“shell =' trojan' file”改为“shell = explorer . exe”；
在注册表中，使用regedit编辑注册表。先在“HKEY-local-machinesoftwaresoftwindowcurrentversionrun”下找到“木马”程序的文件名，然后在整个注册表中搜索替换“木马”程序。
有时候要特别注意:有些“木马”程序并不只是直接删除“HKEY-local-machinesoftwaresoftwindowcurrentversionrun”下的“木马”键值，因为有些“木马”如BladeRunner“木马”删除后会立即自动添加，你需要它。重新启动计算机，然后删除注册表中所有木马文件的键值。