完全解析木馬駐留系統的方式

　　木馬病毒，我們大家都是非常的熟悉，這個病毒傳播危害大，那麼它都通過那些方式傳播的你知道嗎？　　

　　第一招：利用系統啟動文件

　　1 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵

　　2 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵

　　3 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據

　　4 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據

　　第二招：關聯類型文件使木馬運行

　　在業內著名的木馬冰河就是這樣啟動的，它關聯的是exe類型的文件，方法如下：(以下方法是我在我的win2003中測試通過的)

　　注冊表 ClassRoot 下的.exe 文件打開方式為exefile，我們就找到exefile子鍵，然後exefile該鍵下有一個shell子鍵，在shell子鍵下有open子鍵，在open下有command子鍵，command裡有default鍵,value為"%1" %* 我們把它改變為 木馬路徑 "%1" %* 就可以了

　　當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊

　　第三招：文件捆綁使木馬運行

　　捆綁和關聯文件不同，關聯是修改注冊表，但捆綁類似於病毒的“感染”，就是把木馬的進程感染到其他的執行文件上，業內著名木馬“網絡公牛 - Netbull”就是利用這種方法進行啟動。

　　網絡公牛服務端名稱newserver.exe,運行後自動脫殼到c:\windows\system\checkdll.exe目錄下，下次開機自動運行,同時服務端在運行時會自動捆綁以下文件：

　　win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe

　　winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe

　　並且自動搜索系統啟動項程序，捆綁之。比如qq.exe realplay.exe

　　除非把以上文件全部刪除，否則無法清除，但系統文件刪除後系統就無法正常運行，所以大多數人只能重裝系統。確實牛。

　　第四招： 進程保護

　　兩個木馬進程，互相監視，發現對方被關閉後啟動對方。技術其實不神秘，方法如下：

while (true){System.Threading.Thread.Sleep(500); //檢查對方進程是否關閉，關閉的話再打開。}

　　第五招：巧用啟動文件夾

　　開始菜單的啟動文件夾內的文件在系統啟動後會隨系統啟動，假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內，太明顯，但設置隱藏屬性後不會被系統啟動。

　　有一個辦法，將啟動文件夾改名為啟動a,並將該文件隱藏，然後再新建一個啟動文件夾，，將原啟動文件夾內的所有內容復制到新建的啟動文件夾，這樣就可以了。(其實系統還是會啟動原來的啟動文件夾內的內rogn，也就是現在被改為"啟動a"的文件夾，而現在我們新建的"啟動"文件夾只是一個擺設而已，因為在這裡的"啟動a"對應著注冊表local_machine\software\microsoft\windows\currentversion\explorer\startmenu內的common startup鍵值，當我們更該原來系統的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:\Documents and Settings\All Users\開始\Programs\啟動a”)

　　另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實現自啟動，和run不同，run是系統啟動後加載,runservices是系統登錄時就啟動

　　在系統根目錄下放置Explorer.exe文件，在Explorer.exe文件中去啟動正常的Explorer.exe文件，可以在C盤和D盤下都放上。