揪出系统中秘密隐藏的木马(3)

　　为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可关闭硬盘的AutoRun功能，把它的键值改为B5,00,00,00则可禁止光盘的AutoRun功能。注意改后要重新启动计算机才能生效。

　　屏幕保护也可能成为木马的帮凶

　　Windows的屏幕保护程序对应的是.scr文件，在默认情况下保存在Windows的安装目录下。如果把.scr更名为.exe文件，则该程序仍然可以正常启动。与此类似，.exe文件更名为.scr文件也照样可以运行！顺便提一下，把.exe文件改名为.com、.pif、.bat后，exe文件仍旧可以自由运行！这在exe文件关联丢失后非常有用，我们可以把exe文件的扩展名改为上述扩展名程序就可以运行了。

　　在屏幕保护程序中，我们可以设定它的等待时间，这个启动时间其实是可以在注册表中设定的： HKEY_USERS\.DEFAULT\Control Panel\desktop，其下的字符串值ScreenSaveTimeOut记录的就是屏保程序的等待时间，时间单位为秒，从60秒开始记录，如果记录时间小于60秒，则自动定为1分钟。是否选择了屏幕保护程序可以在system.ini文件中看出来。在“开始”菜单的“运行”中输入msconfig，找到System标签，找到里面的[boot]小节，你可以看到有“SCRNSAVE.EXE=”这一行。在它后面是屏保文件的路径。如果你设定了屏保程序，这一行前面就会有一个“√”，反之则没有“√”。

　　由上面的介绍可以产生一个联想：如果把.exe文件重命名为.scr文件（假设改为trojan.scr），并在SYSTEM.INI中添加“SCANSAVE.EXE=C:\Program files\trojan.scr”，然后修改注册表中的HKEY_USERS\.DEFAULT\Control Panel\desktop下的字符串值ScreenSaveTimeOut，把其键值改为60，则系统只要闲置一分钟该文件就会被启动！由此可以看出，如果这种方法被木马或病毒等恶意程序所利用，后果非常可怕。防范这种攻击的方法就是禁止使用屏幕保护功能！

　　控制面板中的木马
　　
　　控制面版是Windows的基本组件，控制面板中的各个选项实际上是以cpl为后缀名的文件单独存在的，根据操作系统的不同这些文件所在的位置也有所不同，Windows 9x/Me下这些cpl文件位于Windows安装目录下的System子目录中，