木馬藏身地及通用排查技術

　　●在Win.ini中啟動木馬：

　　在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”，在一般的情況下“=”后面是空的，如果后面跟有程序，比如：

　　run=C:Windows ile.exe

　　load=C:Windows ile.exe

　　則這個file.exe很有可能就是木馬程序。

　　●在Windows XP注冊表中修改文件關聯：

　　修改注冊表中的文件關聯是木馬常用的手段，如何修改的方法已在本系列的前幾文中有過闡述。舉個例子，在正常情況下txt文件的打開方式為Notepad.exe(記事本)，但一旦感染了文件關聯木馬，則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”，就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”，這樣，當你雙擊一個txt文件時，原本應該用記事本打開的文件，現在就成了啟動木馬程序了。當然，不僅是txt 文件，其它類型的文件，如htm、exe、zip、com等文件也都是木馬程序的目標，要小心。

　　對這類木馬程序，只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支，查看其值是否正常。

　　●在Windows XP系統中捆綁木馬文件：

　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起，上傳到服務端覆蓋原有文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被重新安裝了。如果捆綁在系統文件上，則每次Windows XP啟動都會啟動木馬。

　　●在System.ini中啟動木馬：

　　System.ini中的[boot]小節的shell=Explorer.exe是木馬喜歡的藏身之所，木馬通常的做法是將該語句變為這樣：

　　Shell=Explorer.exe file.exe

　　這里的file.exe就是木馬服務端程序。

　　另外，在[386enh]小節，要注意檢查在此小節的“driver=path程序名”，因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節也是要加載驅動程序的，所以也是添加木馬的理想場所。

　　●利用Windows XP注冊表加載運行：

　　注冊表中的以下位置是木馬偏愛的藏身之所：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。

　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。

　　●在Autoexec.bat和Config.sys中加載運行木馬：

　　要建立控制端與服務端的連接，將已添置木馬啟動命令的同名文件上傳到服務端覆蓋著兩個文件才能以這種方式啟動木馬。不過不是很隱蔽，所以這種方式并不多見，但也不能掉以輕心。

　　●在Winstart.bat中啟動木馬：

　　Winstart.bat也是一個能自動被Windows XP加載運行的文件，多數時由應用程序及Windows自動生成，在執行了Win.com或者Kernel386.exe，并加載了多數驅動程序之后開始執行(這可以通過在啟動時按F8選擇逐步跟蹤啟動過程的啟動方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行。

　　木馬病毒的通用排查技術

　　現在，我們已經知道了木馬的藏身之處，查殺木馬自然就容易了。如果您發現計算機已經中了木馬，最安全最有效的方法就是馬上與網絡段開，防止計算機駭客通過網絡對您進行攻擊，執行如下步驟：

　　編輯Win.ini文件，將[Windows]小節下面的“run=木馬程序”或“load=木馬程序”更改為“run=”，“load=”。

　　編輯System.ini文件，將[boot]小節下面的“shell=木馬文件”更改為“shell=Explorer.exe”。

　　在Windows XP注冊表中進行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程序的文件名刪除，并在整個注冊表中查找木馬程序，將其刪除或替換。但可惡的是，并不是所有的木馬程序都只要刪除就能萬事大吉的，有的木馬程序被刪除后會立即自動添上，這時，您需要記下木馬的位置，即它的路徑和文件名，然后退到DOS系統下，找到這個文件并刪除。重啟計算機，再次回到注冊表中，將所有的木馬文件的鍵值項刪除。

　　xp系統清除特洛伊木馬的方法就為大家介紹到這里了。木馬在無形中進入系統，很多用戶都是無法察覺的，我們只有花更多的時間和耐心去排查，將這個隱藏在系統內的地雷排掃掉，保障系統的安全性。