广外女生木马手工清除方法(2)

　　3.凡是能自动加载的地方，木马都喜欢安家。winstart.bat也是一个能自动被windows加载运行的文件，他多数情况为应用程序及windows自动生成，在执行了win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8健在选择逐步跟踪启动过程方式得知）。由于autoexec.bat的功能可以由winstart.bat代替完成，因此木马完全可以像在autoexec.bat中那样被加载运行，危险由此而来！

　　4.内置到注册表中

　　由于隐藏到以上方法木马很快就会被人查处，于是木马又打起了注册表的注意。注册表本身就非常庞大复杂，众多的启动项目及易掩人耳目。往往很多书中都会大惊小怪的告戒读者千万别动注册表，那很危险。我本人就很不同意这一观点！是非常不同意！！如果你学不会走路你就永远长不大！你怕摔交你就永远生长在婴儿期！！在windows系统有很多功能只有通过修改注册表才能调整。我建议在修改注册表之前先备份注册表或用ghost给整个系统备份，基本就可高枕无忧了。还是言归正传吧：

　　隐蔽性强的木马都喜欢在注册表里做文章，所以一定要检查以下键值：

　　HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run

　　…………………………………………………………………………………\RunOnce

　　…………………………………………………………………………………\RunOnceEx

　　…………………………………………………………………………………\RunServices

　　…………………………………………………………………………………\RunServicesOnce

　　HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run

　　…………………………………………………………………………………\RunOnce

　　…………………………………………………………………………………\RunOnceEx

　　…………………………………………………………………………………\RunServices

　　…………………………………………………………………………………\RunServicesOnce

　　HKEY_USERS\.Default\software\microsoft\windows\CurrentVersion\Run

　　…………………………………………………………………………………\RunOnce

　　…………………………………………………………………………………\RunOnceEx

　　…………………………………………………………………………………\RunServices

　　…………………………………………………………………………………\RunServicesOnce

　　上面这些主键下面的启动项目都可以成为木马的藏生之处，可要小心哦！如果是WINDOWS NT系统，那还的留心以下键值：

　　HKEY_LOCAL_MACHINE\software\SAM ，正常情况SAM里面应该是空的。

　　（我这里说的NT系统就是平常我们用的2000啦XP啦等..这些都属于NT平台）