木马攻略：关于木马的几种启动方式

木马是随着电脑或Windows的启动而启动的，具有一定的控制权。其启动方式可谓五花八门，通过注册表启动，通过System.ini启动，通过一些特定程序启动等。真的是防不胜防。其实只要能遏制住，不让它启动，木马就没用了。下面简单说一下木马的启动模式，知己知彼，百战不殆。

首先，通过“开始\程序\开始”

隐蔽性:2颗星

申请程度:低

这也是很常见的方式。很多正常程序都用。大家常用的QQ就是用这种方式实现自启动的，木马很少用。因为启动组的每个人都会出现在系统配置实用程序(msconfig.exe，以下简称msconfig)中。事实上，它出现在“开始”菜单的“程序\开始”中，足以引起新手的注意。所以我相信不会有木马使用这种启动方式。

第二，通过Win.ini文件

隐蔽性:3颗星

申请程度:低

申请:庇护

和启动组一样，从Win16继承到Win32的Windows3.2开始就可以使用这个方法。在Windows3.2中，Win.ini相当于Windows9x中的注册表。这个文件中的[Windows]域中的load和run项会在Windows启动时运行，这两项也会出现在msconfig中。而且Windows98安装后，这两项会被Windows程序使用，不太适合木马。

第三，从注册表开始

1.通过HKEY _当前_用户\软件\微软\ windows \当前版本\运行

HKEY _本地_机器\软件\微软\ windows \当前版本\运行并

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ RunServices

隐蔽性:3.5颗星

应用程度:极高

应用案例:BO2000，GOP，NetSpy，IEthief，Glacier...

这是很多Windows程序采用的方法，也是最常用的木马。用起来很方便，但也很容易被发现。因为应用广泛，几乎一提到木马就会让人想到这些注册表中的主键，通常木马会用最后一个。用自己的程序:msconfig或者注册表编辑器(regedit.exe，以下简称regedit)就可以轻松删除，所以这种方法不太靠谱。但是，可以在特洛伊木马程序中添加时间控件，以便实时监控注册表中是否存在自己的启动键值。一旦发现被删除，可以立即重写，确保下次Windows启动时可以运行。这样，木马程序和注册表中的启动键值就形成了相互保护的状态。如果不停止木马程序，则无法删除启动键值(手动删除后，会自动添加木马程序)。相反，如果不删除启动键值，下次启动Windows时就会启动木马。我该怎么办？其实破解起来并不难，即使不借助任何工具和软件，这种相互保护也能轻松解除。

破解方法:首先，在安全模式下启动Windows。此时Windows不会加载注册表中的项，因此木马不会启动，互护局面被打破。然后，您可以删除注册表中的键值和相应的木马程序。

2.通过HKEY _本地_机器\软件\微软\ windows \当前版本\ runonce

HKEY _当前_用户\软件\微软\ windows \当前版本\运行一次和

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ RunServicesOnce

隐蔽性:4星

申请程度:低

应用:Happy99

这种方法好像用的人不多，但是隐蔽性比前一种好，内容不会出现在msconfig中。该项下的项目与上一项类似，将在Windows启动时启动。但Windows启动后，该键下的项会被清除空，所以不容易被发现，但只能启动一次。木马是如何工作的？

其实很简单。不能只启动一次吗？木马启动成功后就不能在这里再加一次吗？在Delphi中，这只是3或5行程序。这些项目虽然不会出现在msconfig中，但是可以直接在Regedit中删除，木马从此失效。

还有一种方法，不是在启动时，而是在退出WIndows时。这就需要木马本身拦截Windows的消息。当它发现关闭Windows的消息时，它会暂停关闭进程，添加注册表项，然后开始关闭Windows，所以用Regedit找不到它。这种方法还有一个缺点，就是一旦Windows非正常停止(Windows9x经常出现这种情况)，木马就会失效。

破解它们的方法也可以使用安全模式。

此外，这三个关键值并不完全相同。通常木马会选择第一个键值，因为第二个键值下的项会在Windows启动前运行，等待程序结束后再继续启动Windows。