作者：Xman

组织:黑色反击 http://www.hf110.com            

木马、病毒藏身之处：

注册表先说注册表，因为可能性是最大的`````打开RUN输入REGEDIT回车，看看下面几个位置：

HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run

这两个是最常见的，此外还有：

HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceEX

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup

木马通常会有一个比较〖猥琐〗的名称，迄今为止，我还没见过哪只马敢在注册表里用Trojan命名的，哈哈`~`````所以查找的时候一定要细心，如果觉得可疑但不确定，就应该询问高手，或借用第三方软件。

另外，还有两个地方比较容易被忽视哦：

HKEY－CLASSES-ROOT\exefiles\shell\open\command

HKEY－LOCAL－MACHINE \ Software\CLASSES\exefiles\shell\open\command

这可是关联型木马的俱乐部。

win.ini文件

win.ini是在Windows下的引导文件，其中的自段“run=”和“load=”木马程序喜欢驻留的地方，如后这两个字段后跟了不明文件路径，那你要小心了，你有可能中招了。用NT的朋友可能会找不到这两个字段，因为WINNT下的这个文件是类似于这样的：

; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

[MCI Extensions.BAK]

asf=MPEGVideo

asx=MPEGVideo

ivf=MPEGVideo

m3u=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo

mpv2=MPEGVideo

wax=MPEGVideo

wm=MPEGVideo

wma=MPEGVideo

wmv=MPEGVideo

wvx=MPEGVideo

wmx=MPEGVideo2

system.ini在WIN98系统的system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=  explorer.exe  程序名”，那么后面跟着的那个程序可能就是“木马”程序。
与程序捆绑
这里的捆绑也包括了插入。有的木马可能会捆绑程序，就是说它会集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。这种木马是比较难发现的，但是一般杀毒软件的监控功能能够发现这种病毒，并且我在《浅谈加密技术》中提到的MD5校验也可以发现，前提是你对干净的系统文件做过MD5运算。碰到这种情况，我会用两种办法，如果不是致命的程序，可以采用替换文件或杀毒软件查杀，如果是致命的文件，那就只能FORMAT重装了~```呵呵```
Winstart.bat 　Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
Recycled文件夹
什么？你用的是WIN2000但你没看到过这个文件夹？``````哦`````回收站总见过吧````哈哈```开个玩笑，这个文件夹就等同于回收站，在每个硬盘的根目录下都有，但需要在工具—文件夹选项里选择查看所有文件，因为默认是隐藏的。咋样，是个藏木马的好地方吧。
程序—启动
打开程序—启动，你肯定在想没这么笨的木马吧`~``呵呵，别人当然不会笨到一点也不伪装就直接加在启动里。这里通常会结合上面说的“与程序捆绑”或别的方式来进行伪装，从而名目张胆的在你眼皮底下启动。
最后，说一种比较通用的分析方法：（小妖已经被我教过了```呵呵）在安装完Windows后，点击“开始→程序→附件→系统工具→系统信息”，在打开的“系统信息”窗口中再点击“软件环境→正在运行任务，然后点击“操作→另存成文本文件”，以后系统出现异常时则对照进行分析。另外，“优化大师”也提供了保存进程快照的功能```````
大概~`基本``~也许``~可能``就只有这么多了：）``````这里叫终结篇并不表示除此之外便无木马容身之地，任何技术都是在一直发展的，木马永远不可能被完全终结。但是，我希望新手看过这篇贴后，能够具备把自己电脑里木马终结掉的能力。