● 查查看你中了木马没（二） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: andyou (愿你幸福), 信区: Internet
标  题: 查查看你中了木马没（二）
发信站: 荔园晨风BBS站 (2005年03月20日14:05:02 星期天), 站内信件

6、在System.ini中藏身

木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的Syst
em.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么
不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe
file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端
程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径＼程
序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[driv
ers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所
，现在你该知道也要注意这里喽。

7、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载
到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这
个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动
组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKE
Y_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查
启动组哦！

8、隐蔽在Winstart.bat中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.
bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生
成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再
选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat
代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

9、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木
马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了
。

10、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗
！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。

--
   ||            ||  (\(__)/)- ||---    _ ` ||
  _||        ____||___`(QQ) ___||________-__||_ 要飞飞飞^^^^^^^踹开牛栏^^^~~~~~~
  -||------------||----)  (----||---------+--||-         (___)
  _||学校是      ||___(o  o)___||______/____||_         (o o)_____/
  -||------------||----`-- ----||-----------||-          @@ `     \
   ||困人的牛栏  ||        || ||| || ||     ||            \ ____, /hoho
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.115.22]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店