揪出系统中秘密隐藏的木马(1)

　　木马为了生存会想尽办法隐藏自己，早期的木马通常会采用以下方式来实现自启动，比方说通过“开始”菜单的“启动”项来加载自己，通过注册表的有关项目来启动木马，还有的木马会注册为系统服务来迷惑我们。不过，除此之外木马还有多种隐藏自己的方法，所以我们绝不能掉以轻心。

　　知己知彼，方能百战不殆，下面我们就谈谈这些鲜为人知的木马隐藏方法。

　　“组策略”中的木马

　　通过“组策略”来加载木马非常隐蔽，不易为人所发现。具体方法是：点击“开始”菜单中的“运行”，输入“Gpedit.msc”并回车，这样就可以打开“组策略”，在“本地计算机策略”中顺次点击“用户配置→管理模板→系统→登录”（图1），然后双击“在用户登录时运行这些程序”子项，出现如图所示对话框（图2），在这里进行属性设置，选定“设置”中的“已启用”，接下来单击“显示”按钮，会弹出“显示内容”窗口（图3），再单击“添加”按钮，出现“添加项目”窗口（图4），在其中的文本框中输入要自动运行的文件所在的路径，最后单击“确定”按钮，然后重新启动计算机就可以了，系统在登录时会自动启动我们添加的程序。注意：如果自启动的文件不是位于%Systemroot%目录中，则必须指定文件的完整路径。

　　如果我们刚才在“组策略”中添加的是木马，就会诞生一个“隐形”的木马！这是因为在“系统配置实用程序”Msconfig中你是无法发现该木马的，在大家周知的注册表项如HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项你也无法找到相应的键值，所以这种加载木马的方式还是非常隐蔽的，对普通用户来说威胁也更大一些。

　　难道这种加载木马的启动方式就那么无懈可击吗？当然不是！其实，通过这种方式添加的自启动程序依然被记录在注册表中，只不过不是在我们所熟悉的那些注册表项下，而是在在注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项中。所以，如果你怀疑电脑中可能有木马，却找不到它躲在哪儿，那就到上述注册表项目或者组策略选项中看看，也许你会有所发现！