揪出系统中秘密隐藏的木马(5)

　　根据上面的原理，就可以自己写一个无窗口或隐藏窗口的控制面板程序，将其写进注册表的启动项，使之可以自启动。如果你编写的控制面板程序是木马的话，则不仅中木马者感到不知所然，就连木马克星等软件也会不知所措！

　　具体步骤就是在注册表启动项中加入RunDll32 shell32.dll,Control_RunDll mycpl.cpl。这样，这个mycpl.cpl就会随用户机器启动的时候被调用—就象DLL文件被执行一样！注意，mycpl.cpl如果保存在默认目录中，可以不加路径直接调用，否则就要加上路径。控制面板在执行的时候会加载System子目录中的所有*.cpl文件，所以只要把这个cpl木马放在System(Win9x)或System32(Win2K/XP)子目录中就可以达到目的。要提醒大家的是，如果mycpl.cpl真是木马的话，那么别人一定会给它改个名字，或替换掉系统中那些不常用的cpl文件，使你疏于察觉。

　　是不是只有把cpl文件放到System或System32子目录下才会被加载呢？不是的！如果你的控制面版程序不在Windows目录，假设在D:\ok下，而你想让它在控制面版里显示。你只要编辑control.ini文件，在[MMCPL]小节里面加入：mycpl.cpl=D:\ok\mycpl.cpl就可以了。如果不想让cpl文件显示在控制面板中该怎么办呢？依然从control.ini文件入手！打开该文件，在[don't load]小节中加入：mycpl.cpl=no，那么这个mycpl.cpl文件就不被加载了。

　　如果有人利用这种方式进行攻击，防范方法是经常检查注册表的启动项，发现用RunDll32.exe调用.cpl文件的就杀无赦，斩立决！将这个注册表键值立刻删除，然后按键值提供的路径找到这个cpl文件把它删除。

　　超长目录中隐藏的木马

　　给我们下木马的人要想在我们的电脑中隐藏木马文件，会绞尽脑汁，利用Windows系统建立超长目录然后在其中隐藏木马就是手段之一。

　　请大家和我一起做一个实验。打开“资源管理器”，在任意一个磁盘(假设是E盘)下建立一个目录，假设为good，然后进入此目录，在它的下面再建立一个子目录，假设为123，然后在123子目录下再建立一个子目录test，现在test这个目录的绝对路径就是：E:\good\123\test。接下来把你要隐藏的目录和文件都拷贝test子目录下。