木馬為了生存會想盡辦法隱藏自己，早期的木馬通常會采用以下方式來實(shí)現(xiàn)自啟動(dòng)，比方說通過“開始”菜單的“啟動(dòng)”項(xiàng)來加載自己，通過注冊表的有關(guān)項(xiàng)目來啟動(dòng)木馬，還有的木馬會注冊為系統(tǒng)服務(wù)來迷惑我們。不過，除此之外木馬還有多種隱藏自己的方法，所以我們絕不能掉以輕心。知己知彼，方能百戰(zhàn)不殆，下面我們就談?wù)勥@些鮮為人知的木馬隱藏方法。

    “組策略”中的木馬

    通過“組策略”來加載木馬非常隱蔽，不易為人所發(fā)現(xiàn)。具體方法是：點(diǎn)擊“開始”菜單中的“運(yùn)行”，輸入“Gpedit.msc”并回車，這樣就可以打開“組策略”，在“本地計(jì)算機(jī)策略”中順次點(diǎn)擊“用戶配置→管理模板→系統(tǒng)→登錄”（圖1），然后雙擊“在用戶登錄時(shí)運(yùn)行這些程序”子項(xiàng)，出現(xiàn)如圖所示對話框（圖2），在這里進(jìn)行屬性設(shè)置，選定“設(shè)置”中的“已啟用”，接下來單擊“顯示”按鈕，會彈出“顯示內(nèi)容”窗口（圖3），再單擊“添加”按鈕，出現(xiàn)“添加項(xiàng)目”窗口（圖4），在其中的文本框中輸入要自動(dòng)運(yùn)行的文件所在的路徑，最后單擊“確定”按鈕，然后重新啟動(dòng)計(jì)算機(jī)就可以了，系統(tǒng)在登錄時(shí)會自動(dòng)啟動(dòng)我們添加的程序。注意：如果自啟動(dòng)的文件不是位于%Systemroot%目錄中，則必須指定文件的完整路徑。

    如果我們剛才在“組策略”中添加的是木馬，就會誕生一個(gè)“隱形”的木馬！這是因?yàn)樵凇跋到y(tǒng)配置實(shí)用程序”Msconfig中你是無法發(fā)現(xiàn)該木馬的，在大家周知的注冊表項(xiàng)如HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)你也無法找到相應(yīng)的鍵值，所以這種加載木馬的方式還是非常隱蔽的，對普通用戶來說威脅也更大一些

    難道這種加載木馬的啟動(dòng)方式就那么無懈可擊嗎？當(dāng)然不是！其實(shí)，通過這種方式添加的自啟動(dòng)程序依然被記錄在注冊表中，只不過不是在我們所熟悉的那些注冊表項(xiàng)下，而是在在注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項(xiàng)中。所以，如果你懷疑電腦中可能有木馬，卻找不到它躲在哪兒，那就到上述注冊表項(xiàng)目或者組策略選項(xiàng)中看看，也許你會有所發(fā)現(xiàn)！

    暗藏殺機(jī)的注冊表項(xiàng)

    利用注冊表項(xiàng)加載木馬一直是木馬的最愛，我們也很熟悉它們的這種手段了，不過有一種新的利用注冊表來隱藏木馬的方法您可能還不知道，具體方法是：點(diǎn)擊“開始”菜單中的“運(yùn)行”，輸入Regedit回車，打開注冊表編輯器。展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Win dowsNT\CurrentVersion\Windows項(xiàng)，新建一個(gè)字符串值，命名為“l(fā)oad”，把它的鍵值改為自啟動(dòng)程序的路徑即可。注意：要使用文件的短文件名，即“C:\Program Files”應(yīng)該寫為“C:\Progra~1”，且自啟動(dòng)程序的后面不能帶有任何參數(shù)。另外要提醒大家注意的是，如果改為在注冊表的HKEY_USERS\用戶ID號\Software\Microsoft\Windows NT\CurrentVersion\Windows項(xiàng)加載，則本方法對其他用戶也有效，否則換個(gè)用戶名登陸就不管用了。

    建議大家以后檢查木馬及病毒程序時(shí)也要注意這里，免得被人有機(jī)可乘。另外，這個(gè)方法只對Windows 2000/XP/2003有效，使用Windows 9x的用戶不用擔(dān)心。

    利用AutoRun.inf加載木馬

    經(jīng)常使用光盤的朋友都知道，某些光盤放入光驅(qū)后會自動(dòng)運(yùn)行，這種功能的實(shí)現(xiàn)主要靠兩個(gè)文件，一個(gè)是系統(tǒng)文件之一的Cdvsd.vxd，一是光盤上的AutoRun.inf文件。Cdvsd.vxd會隨時(shí)偵測光驅(qū)中是否有放入光盤的動(dòng)作，如果有的話，便開始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。

    這個(gè)貌似神奇的功能其實(shí)很簡單，不僅能應(yīng)用于光盤中，同樣也可以應(yīng)用于硬盤中（要注意的是AutoRun.inf必須存放在磁盤根目錄下才能起作用）。讓我們一起看看AutoRun.inf文件的內(nèi)容吧。打開記事本，新建一個(gè)文件，將其命名為AutoRun.inf，在AutoRun.inf中鍵入以下內(nèi)容：

    [AutoRun]

    Icon=C:\Windows\System\Shell32.DLL,21

    Open=C:\Program Files\ACDSee\ACDSee.exe

    解釋一下：一個(gè)標(biāo)準(zhǔn)的AutoRun文件必須以[AutoRun]開頭，第二行Icon=C:\Windows\System\Shell32.DLL,21用來給硬盤或光盤設(shè)定一個(gè)圖標(biāo)。Shell32.DLL是Windows系統(tǒng)文件，里面包含了很多Windows的系統(tǒng)圖標(biāo)。數(shù)字21表示顯示編號為21的圖標(biāo)；第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要運(yùn)行程序的路徑及其文件名。

    如果把Open行換為木馬文件，并將這個(gè)AutoRun.inf文件設(shè)置為隱藏屬性（不易被發(fā)現(xiàn)），則點(diǎn)擊硬盤就會啟動(dòng)木馬！反過來講，這倒的確是一種很不錯(cuò)的程序自啟動(dòng)方式。

    為防止遭到這樣的“埋伏”，可以禁止硬盤AutoRun功能。打開注冊表編輯器，展開到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主鍵下，在右側(cè)窗口中找到“NoDriveTypeAutoRun”，就是它決定了是否執(zhí)行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可關(guān)閉硬盤的AutoRun功能，把它的鍵值改為B5,00,00,00則可禁止光盤的AutoRun功能。注意改后要重新啟動(dòng)計(jì)算機(jī)才能生效。

    屏幕保護(hù)也可能成為木馬的幫兇　

    Windows的屏幕保護(hù)程序?qū)?yīng)的是.scr文件，在默認(rèn)情況下保存在Windows的安裝目錄下。如果把.scr更名為.exe文件，則該程序仍然可以正常啟動(dòng)。與此類似，.exe文件更名為.scr文件也照樣可以運(yùn)行！順便提一下，把.exe文件改名為.com、.pif、.bat后，exe文件仍舊可以自由運(yùn)行！這在exe文件關(guān)聯(lián)丟失后非常有用，我們可以把exe文件的擴(kuò)展名改為上述擴(kuò)展名程序就可以運(yùn)行了。

    在屏幕保護(hù)程序中，我們可以設(shè)定它的等待時(shí)間，這個(gè)啟動(dòng)時(shí)間其實(shí)是可以在注冊表中設(shè)定的： HKEY_USERS\.DEFAULT\Control Panel\desktop，其下的字符串值ScreenSaveTimeOut記錄的就是屏保程序的等待時(shí)間，時(shí)間單位為秒，從60秒開始記錄，如果記錄時(shí)間小于60秒，則自動(dòng)定為1分鐘。是否選擇了屏幕保護(hù)程序可以在system.ini文件中看出來。在“開始”菜單的“運(yùn)行”中輸入msconfig，找到System標(biāo)簽，找到里面的[boot]小節(jié)，你可以看到有“SCRNSAVE.EXE=”這一行。在它后面是屏保文件的路徑。如果你設(shè)定了屏保程序，這一行前面就會有一個(gè)“√”，反之則沒有“√”。

    由上面的介紹可以產(chǎn)生一個(gè)聯(lián)想：如果把.exe文件重命名為.scr文件（假設(shè)改為trojan.scr），并在SYSTEM.INI中添加“SCANSAVE.EXE=C:\Program files\trojan.scr”，然后修改注冊表中的HKEY_USERS\.DEFAULT\Control Panel\desktop下的字符串值ScreenSaveTimeOut，把其鍵值改為60，則系統(tǒng)只要閑置一分鐘該文件就會被啟動(dòng)！由此可以看出，如果這種方法被木馬或病毒等惡意程序所利用，后果非?？膳?。防范這種攻擊的方法就是禁止使用屏幕保護(hù)功能！