木马驻留位置

5.2　木马驻留位置

单击“开始”→“运行”打开如图5-1所示对话框，在打开栏中输入msconfig。

单击“确定”打开如图5-2所示“系统配置实用程序”对话框。

图5-1　运行对话框

图5-2　系统配置实用程序

木马在系统中一般驻留在以下几个位置：

在WIN.INI中启动

在WIN.INI的［windows］字段中有启动命令“load＝”和“run”，在一般情况下“＝”后面是空的，如果有，一般是执行程序。

图5-3　WIN.INI选项卡

在SYSTEM.INI中驻留

SYSTEM.INI位于系统的安装目录下，如出现［boot］字段的shell＝explorer.exe是木马喜欢的隐藏加载场所，如图5-4所示为SYSTEM.INI选项的内容。

图5-4　SYSTEM.INI选项卡内容

要注意查看［drivers］下面字段可能有的“driver＝路径＼程序名”，［mci＼drivers＼driver32］三个字段起到加载驱动程序的地方，也可能被木马运用，应引起注意

单击“启动”可以看到当前正在运行的启动程序，如发现其中有木马或病毒运行，可以选中它，然后单击全部禁用即可（图5-5）。

图5-5　目前系统启动加载的程序

利用注册表运行加载：

检查HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion下所有以run开始的键值，看有无异常程序运行，如图5-6所示。

图5-6　注册表中加载的程序

在autoexec.bat和config.sys中加载运行

硬盘根目录下的这两个文件也可以启动木马，在其中加载的情况相对较少些。

启动组：

启动组对应的文件夹为c：＼windows＼startmenu＼programs＼startup，在注册表中的位置如图5－7所示HKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell Folders，右边startup的值等于C：＼Documents and Settings＼Owner＼「开始」菜单＼程序＼启动。

图5-7　启动文件夹在注册表中的位置

捆绑在启动文件中：

即控制端利用应用程序的启动配置文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这些文件，就可以达到启动木马的目的。

设置在超级链接中：

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻。