下面的文章主要就是對(duì)木馬加載方式的描述，其加載方式主要有定位于System.ini與Win.ini文件，隱藏在注冊(cè)表中(此方式最為隱蔽)。這兩種，以下的文章就是這兩種方式的破解，以下就是文章的主要內(nèi)容講述。

加載方式：定位于System.ini和Win.ini文件

System.ini(位置C:\windows\)

[boot]項(xiàng)原始值配置：“shell=explorer.exe”，explorer.exe是Windows的核心文件之一，每次系統(tǒng)啟動(dòng)時(shí)，都會(huì)自動(dòng)加載。

[boot]項(xiàng)修改后配置：“shell=explorer C:\windows\xxx.exe”(xxx.exe假設(shè)一木馬程序)。

Win.ini(位置C:\windows\)

[windows]項(xiàng)原始值配置：“load=”；“run=”，一般情況下，等號(hào)后無(wú)啟動(dòng)木馬加載項(xiàng)。

[windows]項(xiàng)修改后配置：“load=”和“run=”后跟非系統(tǒng)、應(yīng)用啟動(dòng)文件，而是一些你不熟悉的文件名。

解決辦法：

執(zhí)行“運(yùn)行→msconfig”命令，將System.ini文件和Win.ini文件中被修改的值改回原值，并將原木馬程序刪除。若不能進(jìn)入系統(tǒng)，則在進(jìn)入系統(tǒng)前按“Shift+F5”進(jìn)入Command Prompt Only方式，分別鍵入命令edit system.ini和edit win.ini進(jìn)行修改。

加載方式：隱藏在注冊(cè)表中(此方式最為隱蔽)。

注意以下注冊(cè)表項(xiàng)：HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\

原始數(shù)值數(shù)據(jù)："%1"%?

被修改后的數(shù)值數(shù)據(jù)：C:\system\xxx.exe "%1"%?

原注冊(cè)表項(xiàng)是運(yùn)行可執(zhí)行文件的格式，被修改后就變?yōu)槊看芜\(yùn)行可執(zhí)行文件時(shí)都會(huì)先運(yùn)行C:\system\xxx.exe這個(gè)程序。

例如：開(kāi)機(jī)后運(yùn)行QQ主程序時(shí)，該xxx.exe(木馬程序)就先被木馬加載了。

解決辦法：

當(dāng)通過(guò)防火墻得知某端口被監(jiān)聽(tīng)，立即下線，檢查注冊(cè)表及系統(tǒng)文件是否被修改，找到木馬程序，將其刪除。

所謂“病從口入”感染源還是在于木馬加載了木馬程序的服務(wù)器端。目前，偽裝可執(zhí)行文件圖標(biāo)的方法很多，如：修改擴(kuò)展名，將文件圖標(biāo)改為文件夾的圖標(biāo)等，并隱藏?cái)U(kuò)展名，因此接收郵件和下載軟件時(shí)一定要小心。許多木馬程序的文件名很像系統(tǒng)文件名，造成用戶對(duì)其沒(méi)有把握，不敢隨意刪除，因此要不斷增長(zhǎng)自己的知識(shí)才可防備萬(wàn)一。

可以借助一些軟件來(lái)狙擊木馬，如：The Cleaner、Trojan Remover等。建議經(jīng)常去微軟網(wǎng)站下載補(bǔ)丁包來(lái)修補(bǔ)系統(tǒng)；及時(shí)升級(jí)病毒庫(kù)。

【編輯推薦】

1. 需要關(guān)注的十大安全技巧之：用***的瀏覽器
2. 需要關(guān)注的十大安全技巧之：避免社交工程危害
3. 需要關(guān)注的十大安全技巧之：輕松對(duì)付惡意軟件
4. 需要關(guān)注的十大安全技巧之：避免網(wǎng)絡(luò)釣魚(yú)陷阱
5. 需要關(guān)注的十大安全技巧之：清除頑固的感染