常見的幾種木馬的啟動方式

　　href="http://www.pcdu.net/anquan/Trojan/">木馬是隨計算機或Windows的啟動而啟動並掌握一定的控制權的（計算機愛好者，學習計算機基礎，電腦入門，請到本站http://.，我站同時提供計算機基礎知識教程，計算機基礎知識試題供大家學習和使用），，其啟動方式可謂多種多樣，通過注冊表啟動、通過System.ini啟動、通過某些特定程序啟動等，真是防不勝防。其實只要能夠遏制住不讓它啟動，href="http://www.pcdu.net/anquan/Trojan/">木馬就沒什麼用了，這裡就簡單說說href="http://www.pcdu.net/anquan/Trojan/">木馬的啟動方式，知己知彼百戰不殆嘛。

　　一、通過"開始\程序\啟動"

　　隱蔽性:2星

　　應用程度:較低

　　這也是一種很常見的方式，很多正常的程序都用它，大家常用的QQ就是用這種方式實現自啟動的，但href="http://www.pcdu.net/anquan/Trojan/">木馬卻很少用它。因為啟動組的每人會會出現在“系統配置實用程序”(msconfig.exe，以下簡稱msconfig)中。事實上，出現在“開始”菜單的“程序\啟動”中足以引起菜鳥的注意，所以，相信不會有href="http://www.pcdu.net/anquan/Trojan/">木馬用這種啟動方式。

　　二、通過Win.ini文件

　　隱蔽性:3星

　　應用程度:較低

　　應用案例:Asylum

　　同啟動組一樣，這也是從Windows3.2開始就可以使用的方法，是從Win16遺傳到Win32的。在Windows3.2中，Win.ini就相當於Windows9x中的注冊表，在該文件中的[Windows]域中的load和run項會在Windows啟動時運行，這兩個項目也會出現在msconfig中。而且，在Windows98安裝完成後這兩項就會被Windows的程序使用了，也不很適合href="http://www.pcdu.net/anquan/Trojan/">木馬使用。

　　三、通過注冊表啟動

　　1、通過HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　隱蔽性:3.5星

　　應用程度:極高

　　應用案例:BO2000，GOP，NetSpy，Iethief，冰河……

　　這是很多Windows程序都采用的方法，也是href="http://www.pcdu.net/anquan/Trojan/">木馬最常用的。使用非常方便，但也容易被人發現，由於其應用太廣，所以幾乎提到href="http://www.pcdu.net/anquan/Trojan/">木馬，就會讓人想到這幾個注冊表中的主鍵，通常href="http://www.pcdu.net/anquan/Trojan/">木馬會使用最後一個。使用Windows自帶的程序:msconfig或注冊表編輯器(regedit.exe，以下簡稱regedit)都可以將它輕易的刪除，所以這種方法並不十分可靠。但可以在href="http://www.pcdu.net/anquan/Trojan/">木馬程序中加一個時間控件，以便實時監視注冊表中自身的啟動鍵值是否存在，一旦發現被刪除，則立即重新寫入，以保證下次Windows啟動時自己能被運行。這樣href="http://www.pcdu.net/anquan/Trojan/">木馬程序和注冊表中的啟動鍵值之間形成了一種互相保護的狀態。Href="http://www.pcdu.net/anquan/Trojan/">木馬程序未中止，啟動鍵值就無法刪除(手工刪除後，href="http://www.pcdu.net/anquan/Trojan/">木馬程序又自動添加上了)，相反的，不刪除啟動鍵值，下次啟動Windows還會啟動href="http://www.pcdu.net/anquan/Trojan/">木馬。怎麼辦呢?其實破解它並不難，即使在沒有任何工具軟件的情況下也能輕易解除這種互相保護。