木馬寄存方式收集

第一招：利用系統啟動文件

1; 注冊表; CurrentUser SoftWare Microsoft Windows CurrentVersion 下的所有run有關的子鍵

2 注冊表 LocalMachine SoftWare Microsoft Windows CurrentVersion 下的所有run有關的子鍵

3 注冊表 CurrentUser SoftWare Microsoft Windows NT CurrentVersion 鍵名為load的字符型數據

4 注冊表 LocalMachine SoftWare Microsoft Windows NT CurrentVersion 鍵名為load的字符型數據

第二招：關聯類型文件使木馬運行

在業內著名的木馬冰河就是這樣啟動的，它關聯的是exe類型的文件，方法如下：（以下方法是我在我的win2003中測試通過的）
注冊表 ClassRoot 下的.exe; 文件打開方式為exefile，我們就找到exefile子鍵，然後exefile該鍵下有一個shell子鍵，在shell子鍵下有open子鍵，在open下有command子鍵，command裡有default鍵,value為"%1" %*; 我們把它改變為 木馬路徑 "%1" %* 就可以了

當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊

第三招：文件捆綁使木馬運行

捆綁和關聯文件不同，關聯是修改注冊表，但捆綁類似於病毒的“感染”，就是把木馬的進程感染到其他的執行文件上，業內著名木馬“網絡公牛 - Netbull”就是利用這種方法進行啟動。

網絡公牛服務端名稱newserver.exe,運行後自動脫殼到c:windowssystemcheckdll.exe目錄下，下次開機自動運行,同時服務端在運行時會自動捆綁以下文件：
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
並且自動搜索系統啟動項程序，捆綁之。比如qq.exe realplay.exe
除非把以上文件全部刪除，否則無法清除，但系統文件刪除後系統就無法正常運行，所以大多數人只能重裝系統。確實牛。

第四招： 進程保護

兩個木馬進程，互相監視，發現對方被關閉後啟動對方。技術其實不神秘，方法如下：

while (true)
{
System.Threading.Thread.Sleep(500);
//檢查對方進程是否關閉，關閉的話再打開。
}

第五招：巧用啟動文件夾
開始菜單的啟動文件夾內的文件在系統啟動後會隨系統啟動，假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內，太明顯，但設置隱藏屬性後不會被系統啟動。
有一個辦法，將啟動文件夾改名為啟動a,並將該文件隱藏，然後再新建一個啟動文件夾，將原啟動文件夾內的所有內容復制到新建的啟動文件夾，這樣就可以了。（其實系統還是會啟動原來的啟動文件夾內的內rogn，也就是現在被改為"啟動a"的文件夾，而現在我們新建的"啟動"文件夾只是一個擺設而已，因為在這裡的"啟動a"對應著注冊表local_machinesoftwaremicrosoftwindowscurrentversionexplorerstartmenu內的common startup鍵值，當我們更該原來系統的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:Documents and SettingsAll Users開始Programs啟動a”）

另外可在local_machinesoftwaremicrosoftwindowscurrentversion下建立RunServices子鍵來實現自啟動，和run不同，run是系統啟動後加載,runservices是系統登錄時就啟動

在系統根目錄下放置Explorer.exe文件，在Explorer.exe文件中去啟動正常的Explorer.exe文件，可以在C盤和D盤下都放上。