看清木马在系统的藏身点(3)

　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：

　　C:\windows\start menu\programs\startup

　　在注册表中的位置：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

　　Folders Startup="C:\windows\start menu\programs\startup

　　要注意经常检查启动组。

　　8、隐蔽在Winstart.bat中

　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

　　9、捆绑在启动文件中

　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

　　10、设置在超级连接中

　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。

　　11.注册表观察法

　　这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce] 　

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevice s]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]