木马藏身地大曝光

开篇：润墨网以专业的文秘视角，为您筛选了一篇木马藏身地大曝光范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

“熊猫烧香”闹得人心惶惶，但它在系统中隐藏自己的方法并不是十分高明。有的木马虽然危害不大，但“藏猫猫”的功夫却很了得，真是太有才了。

只会躲起来的木马

木马要想留在受害者的电脑中伺机作案，就必须长期潜伏在系统中，于是它们研究出了各种藏身的方法。

1．启动组

就在“开始所有程序启动”菜单中，对应路径为C:\Documents andSettings\USER\[开始]菜单＼程序(USER为用户名称)，在注册表中的位置为HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders。藏身于此的木马，要么是自己“找死”，要么异常顽强――即便暴露也难以掉。

2．Svstem.ini

System.ini作为一个重要配置文件，能够自动加载指定程序，位于C:\WINDOWS目录一下。藏身在“[boot]”处“shell=Explorer.exe”字段下，木马就能达到自启动的目的。如传奇木马Win32.Troj.Lmir.ah就会修改此处，达到激活的目的。

3．Win.ini

同system.ini一样，win.ini也是木马自启动的温床，该文件里的“[Windows]”处“Load=”和“Run=”字段常常被修改为木马程序。

4．注册表Run键

木马的藏身之地要数注册表里最多了，这其中又以Run键最为凶险，可谓众多木马必争之地。

例如“熊猫烧香”的栖息之所就在这里，它在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处加入了“FuckJacks=％System％FuckJacks.exe”。

懂得穿上伪装的木马

1．Aucorun.inf文件

很多病毒在分区根目录下生成Autorun.inf文件，一旦用户双击分区，就会触发病毒运行。此时，我们可以通过右键菜单的“打开”命令来浏览，从而避免触发木马。

2．利用文件关联

最常见要数TXT文件关联木马了。中了这种木马后，双击任何一个TXT文件，原本应该用Notepad打开，现在就变成了启动木马程序了。

这类木马一般是在注册表的两个地方做手脚，HKEY_cLASSES_ROOT\xxxfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\xxxfile\shell\open\command(XXX为扩展名，如txt、exe等)。例如冰河木马，就会在HKEY_CLASSES_ROOT\txtfile\shell\open\command下修改默认值为C:\Windows\system\Sysexplr.exe％1，只要改回默认值C:\Windows\notepad.exe％1即可恢复关联。

修复时可以打开“控制面板文件夹选项”，找到文件类型点击“高级”，编辑“open”操作，在这里修改文件类型关联的应用程序。

3．伪装成服务

有的木马以假乱真，混淆视听，比如用svchost和svchOst考考你的眼力。不过这种障眼法没有技术含量，“有头有脸”的木马对此不屑一顾，于是就有了以“灰鸽子”为代表的实力派木马。

“灰鸽子”可以隐藏文件、隐藏进程，惟一暴露的就是以系统服务方式自动运行，通过“控制面板管理工具服务”可以查看。一句“终止或禁用此服务会造成系统不稳定”足以令人望而生畏，但在“可执行文件的路径”这里却露出了马脚。

如果发现这种情况，可以在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services处列出了所有的系统服务，通过分析服务的执行文件可搜出木马的文件位置，然后删除。