4.4.2 利用系统文件启动

可以利用的文件有win.ini、system. ini、Autoexec.bat和Config.sys。当系统启动的时候,上述这些文件的一些内容是可以随着系统一起加载的,从而可以被木马利用。

用文本方式打开C:\Windows下面的system.ini文件,如果其中包括一些RUN或者LOAD等字眼,就要小心了,很可能是木马修改了这些系统文件来实现自启动。同时,其他的几个所述文件也经常被利用,从而达到开机启动的目的,希望读者能够注意。

4.4.3 利用系统启动组启动

单击“开始”按钮,可看到Windows 10的启动菜单,如下图所示,如果其中有不明了的项目,很可能就是木马文件。

其实,这个启动方式是在“C:\Documents and Settings\gillispie\「开始」菜单\程序\启动”文件夹下被配置的,例如如果当前用户是administrator,那么这个文件的路径就是“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动”。黑客就可以通过向这个文件夹中写入木马文件或其快捷方式来达到自启动的目的,而它对应的注册表键值为“Startup” ,如下图所示。

4.4.4 利用系统服务启动

系统要正常的运行,就少不了一些服务,一些木马会通过加载服务来达到随系统启动的目的,这时用户可以通过“控制面板”中的“管理工具”下的“服务”选项来关闭服务。

对于一些高级用户,甚至可以通过CMD命令来删除服务。

  • net start服务名(开启服务)。
  • net stop服务名(关闭服务)。

使用net stop命令成功关闭了相关服务的操作界面,如下图所示。

4.4.5 利用系统组策略启动

利用系统当中的组策略可以启动木马程序,具体的操作步骤如下。

Step 01 选择“开始”→“运行”菜单项,在打开的“运行”对话框中输入gpedit.msc命令。

Step 02 单击“确定”按钮,打开“本地组策略编辑器”窗口,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置”→“管理模板”→“系统”→“登录”选项。

Step 03 双击“在用户登录时运行这些程序”子项,打开“在用户登录时运行这些程序属性”对话框,勾选“已启用”复选框。

Step 04 单击“显示”按钮,弹出“显示内容”对话框,在“登录时运行的项目”下方添加运行的项目,单击“确定”按钮,即可完成在用户登录时运行那些程序。

重新启动计算机,系统在登录时就会自动启动添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。

提示:由于用这种方式添加的自启动程序在系统的“系统配置实用程序”(MSCONFIG)中是找不到的,同样在所熟知的注册表项中也是找不到,所以非常危险。

通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在所熟知的注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项内,而是在注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\Current-Version\Policies\Explorer\Run]项内。

如果用户怀疑计算机被种了“木马”,可是又找不到它在哪儿,建议到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run]项中找找,如下图所示。或是进入“本地组策略编辑器”窗口的“在用户登录时运行这些程序”下,看看有没有启动的程序。