談及木馬病毒，相信大家都是有所耳聞。人們都希望利用殺毒軟件將其除之而后外，但事實卻不盡如人意。要想查殺木馬病毒，我們都需要對其進行進一步的了解。要知道其實木馬病毒之所以能頻頻得逞，主要是因為其強大多樣性啟動運作方式。如果黑客沒有將木馬啟動，即便是再厲害的木馬也無法發(fā)揮它的破壞作用！

事實上，木馬病毒有很多種啟動方式，通過注冊表啟動、通過System. ini啟動、通過某些特定程序啟動等，眼花繚亂，很難防范。接下來看一下木馬病毒啟動的幾種方式：

木馬病毒啟動方式一、通過開始程序啟動

這種方式最常見，就像一般的軟件設置開機啟動是一樣的，比方說，騰訊QQ就是用這種方式實現(xiàn)自啟動的。不過如今的木馬一般不會用這種方式了，因為出現(xiàn)在“開始”菜單的“啟動”中很容易被發(fā)現(xiàn)行蹤而被處理掉。

木馬病毒啟動方式二、通過注冊表啟動

通過注冊表啟動分為三種，各種的具體設置如下所示:

.通過HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun ,

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_

LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso

常用木馬:BO2000, GOP, NetSpy, lEthief，冰河等。

通常木馬會用這種方式，設置簡單，不過也是會被發(fā)現(xiàn)的。正式因為使用的太多，所以一說到木馬，就會聯(lián)想到注冊表中的主鍵，通常木馬會使用最后一個，使用Windows自帶的程序msconfig或注冊表編輯器(regedit. exe)都可以將其輕而易舉地刪除，可見這也不是一種可靠的方法。但是，現(xiàn)在也有了改進，我們可以在木馬程序中加一個時問控件，實時監(jiān)視注冊表中自身的啟動鍵值是否存在，一旦發(fā)現(xiàn)被刪除，則立即重新寫人，來保證下次Windows啟動時能被運行，這樣木馬程序和注冊表中的啟動鍵值之間就形成了一種互相保護的狀態(tài)。木馬程序未中止，啟動鍵值就無法刪除(手工刪除后木馬程序又自動添加上了)，相反的，不刪除啟動鍵值，下次啟動Windows還會啟動木馬。

破解方法:首先，以安全模式啟動 Windows，此時Windows不會加載注冊表中的項Ei ,因此木馬不會被啟動，相互保護的狀況也就不攻自破了。然后，就可以刪除注冊表中的鍵值和相應的木馬程序了。通過HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,,

木馬病毒啟動方式三、通過autoexec. bat,winstart. bat或confg.sys文件

其實這種方法并不適合木馬使用，因為該文件會在Windows啟動前運行，這時系統(tǒng)處于DOS環(huán)境，只能運行16位應用程序，Window，下的32位程序是不能運行的。木馬此時也就失效了，可是仍然要防范，因為木馬的偽裝就是要做到讓你無從下手

木馬病毒啟動方式四、通過System. ini文件

事實上，System. ini文件并沒有給用戶可用的啟動項目，然而通過它啟動卻是非常好用的。在System. ini文件的“Boot”域中的Shell項的值正常情況下是" explorer. exe"，這是Windows的外殼程序，換一個程序就可以徹底改變Windows的面貌(如改為progman. exe就可以讓Windows 9x變成Windows 3. x)。還可以在“explorer. exe”后加上木馬程序的路徑，這樣Windows啟動后木馬也就隨之啟動，而且即使是安全模式啟動也不會跳過這一項，這樣木馬也就可以保證永遠隨Windows啟動了

木馬病毒啟動方式五、寄生于特定程序之中

即木馬和正常程序捆綁，有點類似于病毒，程序在運行時，木馬程序先獲得控制權或另開一個線程以監(jiān)視用戶操作、截取密碼等，這類木馬編寫的難度較大，需要了解PE文件結構和Windows的底層知識

木馬病毒啟動方式六、將特定的程序改名

QQ是這類木馬最多的寄主，比方說，將QQ的啟動文件QQ2000b. exe改為QQ2000b.ico. exe，再將木馬程序改為QQ2000b. exe。這樣以后，一旦用戶運行“QT , QQ木馬也就運行了，然后才由QQ木馬去啟動真正的QQ

木馬病毒啟動方式七、文件關聯(lián)

一般情況下木馬程序會將自己和TXT文件或EXE文件關聯(lián)，這樣當打開一個文本文件或運行一個程序時，木馬也就偷偷地啟動了。

責任編輯:黃淑蓉