木马病毒的打开方式有哪些？如何遏制住不让它打开？_病毒安全_

有兴趣的人在用户的计算机上植入木马或病毒后，该计算机将在计算机启动时打开，并具有一定的控制权。通过注册表，System .ini启动，通过某些特定程序的启动等等，启动方法可以描述为各种各样，确实很难防范。实际上，只要可以阻止并阻止启动它，木马就毫无用处。那么，启动木马病毒的方法是什么？像木马一样？

如何启动木马病毒：

该木马通过激活。这种木马病毒会根据黑客的远程指示修改您的计算机系统文件并窃取数据。如果您的计算机装有木马，则可以使用防病毒软件杀死计算机上的病毒，然后可以彻底检查并杀死木马病毒。

如何启动木马病毒

一、通过“开始\程序\开始”

隐藏：2星

应用程序级别：低

这也是一种非常常见的方式。许多普通程序都使用它。常用的QQ以这种方式用于实现自我启动，但是木马很少使用它。因为启动组中的每个人都将出现在“系统配置有用程序”（msconfig.exe，以下称为msconfig）中。实际上，“开始”菜单中“程序\开始”的出现足以引起新手的注意。因此，我相信不会有使用这种启动方法的木马。

二、通过Win.ini文件

隐藏：3星

应用程序级别：低

就像启动组一样，这是Windows 3. 2以来可以使用的一种方法，它是从Win16继承到Win32的。在Windows 3. 2中，Win.ini等效于Windows9x中的注册表。 Windows启动时将运行此文件中[Windows]域中的加载和运行项目，并且这两个项目也将显示为msconfig。而且，这两个项目在Windows 98安装后将由Windows程序使用，它们不太适合木马使用。

三、从注册表开始

1、通过：

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices

隐藏：3. 5星

应用程序级别：极高

应用案例：BO2000，GOP，NetSpy，IEthief，Glacier ...

这是许多Windows程序采用的方法，也是最常用的木马。使用起来非常方便，但是也很容易发现。由于它的应用范围太广，几乎提到木马会使人们想到这几个注册表中的主键，通常木马会使用最后一个。可以使用Windows附带的程??序：msconfig或注册表编辑器（regedit.exe，以下称为regedit）轻松删除它，因此此方法不是很可靠。但是，您可以将时间控件添加到木马程序中，以实时监视其自身的启动密钥在注册表中是否存在。一旦发现将其删除，将立即对其进行重写，以确保可以在Windows下一次启动时运行它。这样，木马程序与注册表中的启动密钥之间便会形成相互保护状态。如果未终止木马程序，则无法删除启动键值（手动删除后，将自动再次添加木马程序）。相反，如果未删除启动密钥值，则下次启动Windows时将启动木马。怎么做？实际上，破解它并不难，即使没有任何工具软件，也可以轻松取消这种相互保护。

破解方法：首先，以安全模式启动Windows。此时，Windows将不会在注册表中加载项目，因此不会启动木马，并且不会损害相互保护的状态；然后，您将可以在注册表中删除键值和相应的木马程序。

2、通过：

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce

隐藏：4星

应用程序级别：低

应用案例：99个月快乐

此方法似乎并不为许所使用，但是隐藏效果比以前的方法要好，并且其内容不会出现在msconfig中。该键下的项目与上一个相似。它将在Windows启动时启动，但是在Windows启动后，该键下的项目将被清除，因此不容易找到它，但是只能启动一次。木马如何使用？效果如何？

实际上非常简单，难道它只能被激活一次吗？成功启动木马后，是否可以再次将其添加到此处？在Delphi中，此程序不超过3、 5行程序。尽管这些项目不会出现在msconfig中，但可以直接在Regedit中将其删除，该木马将不再有效。

还有另一种方法，不是在启动时添加它，而是在退出Windows时添加它。这就要求木马程序本身能够拦截Windows的消息。当发现关闭Windows的消息时，它将暂停关闭过程并添加一个注册表项。然后我开始关闭Windows，因此即使使用Regedit也找不到它的踪迹。这种方法也有一个缺点，那就是一旦Windows异常终止（这在Windows 9x中很常见），木马程序就会失败。

破解它们的方法也可以在安全模式下使用。

此外，使用这三个键值并不完全相同。通常，木马会选择第一个，因为第二个键值下的项目将在Windows启动完成之前运行，并且将等待程序结束后再继续启动Windows。

四、通过Autoexec.bat文件或winstart.bat，config.sys文件

隐藏：3. 5星

应用程序级别：低

实际上，此方法不适合木马使用，因为该文件将在Windows启动之前运行。目前，系统处于DOS环境中，只能运行16位应用程序，而Windows下不能运行32位程序。因此，木马的含义丢失了。但是，这并不是说它不能用于启动木马程序。可以想象的是，在Windows中调出窗口进行调试之前，还需要在Autoexec.bat文件中运行SoftIce for Win98（一种功能强大的程序调试工具，被黑客视为宝藏，并且经常用于破解应用程序）。那么，谁能保证不会像这样启动木马程序？到目前为止，我还没有看到这样的特洛??伊木马推出，我认为能够写出这样的特洛??伊木马的人一定是大师级的大师。

此外，这两个BAT文件通常用于销毁。他们将在此文件中添加“ Deltree C：\ *。*”和“ Format C：/ u”等行，以便在启动计算机时尚未启动Windows，则C驱动器已空。

五、通过System.ini文件

隐藏：5星

应用级别：常规

实际上，System.ini文件不向用户提供启动项，但是使用它来启动它非常容易。 System.ini文件的[Boot]字段中Shell项目的值通常是“ Explorer.exe”，它是Windows的外壳程序。更改程序可以完全改变Windows的外观（例如Progman.exe）。您可以将Win9x变成Windows 3. 2）。我们可以在“ Explorer.exe”之后添加木马程序的路径，以便该木马程序将在Windows启动后启动，甚至在安全模式下也不会启动。跳过此项目，以便可以确保木马始终从Windows启动。著名的Nimda病毒使用此方法。这时，如果木马还具有自动检测和添加Shell项目的功能，那就是完美的选择。我认为没有办法破解它，除非使用该工具查看停止木马的过程，然后修改Shell项目并删除该木马文件。但是这种方法也有一个固有的缺点，因为只有Shell是唯一的一种。好吧，如果有两个使用此方法实现自我启动的木马，那么以后的木马可能会使前一个木马无法启动，哈哈用毒药来对抗毒药。

六、由特定程序或文件启动

1、在特定程序中是寄生的

隐藏：5星

应用级别：常规

木马程序与正常程序捆绑在一起，该程序有点类似于病毒。当程序运行时，木马程序首先获得控制权或打开另一个线程来监视用户操作，截取密码等。这种类型的木马更难编写，并且需要了解PE文件和文件的结构。 Windows的基础知识（直接使用捆绑程序除外）。

2、重命名特定程序

隐藏：5星

应用级别：通用

此方法通常用于定位QQ的木马，例如将QQ启动文件b.exe更改为b.ico.exe（Windows默认不显示扩展名，因此它将显示为b.ico，用户将认为它是一个图标），然后将木马程序更改为b.exe。此后，用户运行QQ，但实际上运行QQ木马，然后QQ木马启动真正的QQ。这种方法比以前的方法要好得多。

3、文件关联

隐藏：5星

应用级别：通用

通常，木马程序会将自身与TXT文件或EXE文件相关联，这样，当您打开文本文件或运行程序时，木马程序会在不自觉的情况下启动。

每台被病毒感染或感染或植入木马的计算机都有不寻常的体验，例如：访问某些网络钓鱼网站，下载病毒程序，安装恶意软件等。我们很少关注问题，更多的是，很难找到木马病毒，但并不难发现并杀死它。通常，只需删除相应的文件和注册表项即可。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-376483-1.html