尋尋覓覓 “隱形”木馬啟動方式揭秘

2020-10-31 15:46:10

字體：大中小

來源：轉載

供稿：網友

大家所熟知的木馬程序一般的啟動方式有：加載到“開始”菜單中的“啟動”項、記錄到注冊表的[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]項和[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]項中，更高級的木馬還會注冊為系統的“服務”程序，以上這幾種啟動方式都可以在“系統配置實用程序”(在“開始→運行”中執行“Msconfig”)的“啟動”項和“服務”項中找到它的蹤跡。另一種鮮為人知的啟動方式，是在“開始→運行”中執行“Gpedit.msc”。打開“組策略”，可看到“本地計算機策略”中有兩個選項：“計算機配置”與“用戶配置”，展開“用戶配置→管理模板→系統→登錄”，雙擊“在用戶登錄時運行這些程序”子項進行屬性設置，選定“設置”項中的“已啟用”項并單擊“顯示”按鈕彈出“顯示內容”窗口，再單擊“添加”按鈕，在“添加項目”窗口內的文本框中輸入要自啟動的程序的路徑，如圖所示，單擊“確定”按鈕就完成了。

添加需要啟動的文件面重新啟動計算機，系統在登錄時就會自動啟動你添加的程序，如果剛才添加的是木馬程序，那么一個“隱形”木馬就這樣誕生了。因為用這種方式添加的自啟動程序在系統的“系統配置實用程序”是找不到的，同樣在我們所熟知的注冊表項中也是找不到的，所以非常危險。通過這種方式添加的自啟動程序雖然被記錄在注冊表中，但是不在我們所熟知的注冊表的[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]項和[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]項內，而是在冊表的[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]項。如果你懷疑你的電腦被種了“木馬”，可是又找不到它在哪兒，建議你到注冊表的[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]項里找找吧，或是進入“組策略”的“在用戶登錄時運行這些程序”看看有沒有啟動的程序。

上一篇：巧妙修改注冊表來DIY系統公共對話框

下一篇：DIY你的愛機讓本地磁盤也可以玩自動播放