史萊姆論壇 - 關於木馬隱藏一個的新方法

大家所熟知的木馬程序一般的啟動方式有：載入到「開始」表單中的「啟動」項、記錄到註冊表的

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\[Run項中，更進階的木馬還會註冊為系統的「服務」程序，以上這幾種啟動方式都可以在「系統配置實用程序」（在「開始→執行」中執行「Msconfig」）的「啟動」項和「服務」項中找到它的蹤跡。

　　另一種鮮為人知的啟動方式，是在「開始→執行」中執行「Gpedit.msc」。開啟「群組原則」，可看到「本機電腦原則」中有兩個選項：「電腦配置」與「用戶配置」，展開「用戶配置→管理範本→系統→登入」，雙按「在用戶登入時執行這些程序」子項進行內容設定，選定「設定」項中的「已啟用」項並按下「顯示」按鈕彈出「顯示內容」視窗，再按下「增加」按鈕，在「增加項目」視窗內的文本框中輸入要自啟動的程序的路徑，按下「確定」按鈕就完成了。

　　重新啟動電腦，系統在登入時就會自動啟動你增加的程序，如果剛才增加的是木馬程序，那麼一個「隱形」木馬就這樣誕生了。

因為用這種方式增加的自啟動程序在系統的「系統配置實用程序」是找不到的，同樣在我們所熟知的註冊表項中也是找不到的，所以非常危險。

　　通過這種方式增加的自啟動程序雖然被記錄在註冊表中，但是不在我們所熟知的註冊表的

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\[Run項內，而是在註冊表的

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項。如果你懷疑你的電腦被種了「木馬」，可是又找不到它在哪兒，建議你到註冊表的
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項裡找找吧，或是進入「群組原則」的「在用戶登入時執行這些程序」看看有沒有啟動的程序。