特洛伊木马隐藏启动模式的解密

特洛伊木马的最大特点之一就是它必须从系统启动，否则它就完全失去了意义！！！

方法一：注册表启动项：这可能是您所熟悉的，请注意以下注册表键值：

hkey_local_machine 软件微软 Windows currentversion 运行

hkey_local_machine 软件微软 Windows currentversion RunOnce

hkey_local_machine 软件微软 Windows currentversion runservices hkey_current_user 软件微软 Windows

currentversion runhkey_current_user 软件微软 Windows currentversion RunOnce

}

只要有run敏感词应该小心）

方法二：使用系统文件

可以使用的文件里；System.ini；Autoexec.bat；配置系统，当系统启动时，对这些文件的内容可以加载系统，这样他们就可以通过木马利用。

在打开System.ini文件： Windows文本的方式，我们会看到

其他一些文件通常用来达到启动的目的。

方法三：系统启动组

开放；依次；启动；；；；；

WinXP：C：文件和设置吉里斯皮 {开始}菜单程序启动

Win98：C： Windows 开始菜单程序启动

相应的注册表键值：

hkey_current_user 软件微软 Windows currentversion 浏览器文件夹壳

方法四：使用文件关联：

例如，在正常情况下，打开TXT文件的方式是notepad.exe文件。一旦打开带有相关文件的特洛伊木马，然后打开txt文件，记事本就应该由原始文件打开。现在它变成了特洛伊木马程序。

解决文件关联问题有两种方法：

（1）对登记处的修订：

如果特洛伊木马与EXE文件相关联：

查找键值：

hkey_classes_root 文件外壳休憩命令

hkey_local_machine 软件类文件外壳休憩命令

进入控制面板，选择文件夹选项-文件类型

然后点击高级来选择在弹出菜单中；应用程序；

方法五：使用服务加载

为了正常运行系统，很少有服务，并加载一些特洛伊木马，以达到系统启动的目的。

控制面板-管理工具-服务

通过网络启动服务名称（打开服务）

停止服务名称（关闭服务）