揪出系统中秘密隐藏的木马(2)

　　暗藏杀机的注册表项

　　利用注册表项加载木马一直是木马的最爱，我们也很熟悉它们的这种手段了，不过有一种新的利用注册表来隐藏木马的方法您可能还不知道，具体方法是：点击“开始”菜单中的“运行”，输入Regedit回车，打开注册表编辑器。展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Win dowsNT\CurrentVersion\Windows项，新建一个字符串值，命名为“load”，把它的键值改为自启动程序的路径即可。注意：要使用文件的短文件名，即“C:\Program Files”应该写为“C:\Progra~1”，且自启动程序的后面不能带有任何参数。另外要提醒大家注意的是，如果改为在注册表的HKEY_USERS\用户ID号\Software\Microsoft\Windows NT\CurrentVersion\Windows项加载，则本方法对其他用户也有效，否则换个用户名登陆就不管用了。

　　建议大家以后检查木马及病毒程序时也要注意这里，免得被人有机可乘。另外，这个方法只对Windows 2000/XP/2003有效，使用Windows 9x的用户不用担心。

　　利用AutoRun.inf加载木马

　　经常使用光盘的朋友都知道，某些光盘放入光驱后会自动运行，这种功能的实现主要靠两个文件，一个是系统文件之一的Cdvsd.vxd，一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

　　这个貌似神奇的功能其实很简单，不仅能应用于光盘中，同样也可以应用于硬盘中（要注意的是AutoRun.inf必须存放在磁盘根目录下才能起作用）。让我们一起看看AutoRun.inf文件的内容吧。打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：

　　[AutoRun]

　　Icon=C:\Windows\System\Shell32.DLL,21

　　Open=C:\Program Files\ACDSee\ACDSee.exe

　　解释一下：一个标准的AutoRun文件必须以[AutoRun]开头，第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标。Shell32.DLL是Windows系统文件，里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标；第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。

　　如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性（不易被发现），则点击硬盘就会启动木马！反过来讲，这倒的确是一种很不错的程序自启动方式。