网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

在Win.ini文件中的[Windows]字段中有启动命令”load=”和”run=”。默认情况下，”=”后面是空白的。这两项分别是用来当系统启动时自动加载和运行的程序，如果木马程序加载到这两项中，那么系统启动后即可自动地加载和运行。

2）在System.ini中启动

在System.ini文件中的[boot]字段的shell=Explorer.exe中是木马常用的隐藏加载的地方。木马最惯用的伎俩就是把本应是”Explorer.exe”变成自己的程序名，名称伪装成几乎与Explorer.exe一样，只需稍稍改”Explorer”的字母”l”改为数字”1″，或者把其中的”o”改为数字”0″，这些改变如果不仔细留意是很难被人发现的。或者是shell=Explorer.exe 的后面加上木马程序的路径，如：shell=Explorer.exe sample.exe，这里的sample.exe就是木马服务端程序。

3）通过启动组实现自启动

启动组是专门用来实现应用程序自启动的地方。启动组文件夹的位置为”C:\Documents and Settings\All Users\「开始」菜单\程序\启动”。

[注：”All Users”即对所有用户都有作用]

4）通过注册表启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

5）修改文件关联

修改文件关联是木马常用手段。

例如：在正常情况下，txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开。例如著名的国产木马冰河就是这样。

6）捆绑文件

入侵者可以通过一些黑客软件，如著名的Deception Binder，完成文件的捆绑，之后将这些捆绑文件放到网站、FTP、BT等资源下载场所，当用户下载并执行捆绑文件，同时就启动了木马的服务端程序。

(三) 木马植入技术

1）图标伪装

黑客为了迷惑用户，将木马服务端程序的图标换成一些常见的文件类型的图标。

2）文件捆绑欺骗

文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起，达到欺骗对方从而运行捆绑的木马程序的目的。

例如，把木马服务端和某个游戏，或者flash文件捆绑成一个文件通过QQ或邮件发送给受害者。当受害者对这个游戏或flash感兴趣而下载到机器上，并开打了该文件，木马程序就会悄悄运行。

3）定制端口

很多老式的木马端口都是固定的，只要查一下特定的端口就知道感染了什么木马。现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024～65535之间任选一个端口作为木马端口，一般不选1024以下的端口，这就给判断所感染的木马类型带来了麻烦。

4）扩展名欺骗

例如，图像文件的扩展名不可能是.exe，而木马程序的扩展名又必定是.exe，大多数用户在看到扩展名为”.exe”的文件时，就会很小心。于是设计者就将文件名进行一些改变，例如将”picture.tiff”更改为”pitcture.tiff.exe”，因为windows默认是不显示扩展名的，于是用户就只能看到”picture.tiff”，很容易将其作为一个图片文件而启动。

三、 木马的演变与种类

1、木马的演变

从木马的发展来看，把木马分为五代。

1）第一代木马

第一代的木马功能相当简单，典型的有back orifice（简称：BO）、netSpy等，早就退出了历史的舞台。