知马识马不养马

沧海骗子

为了保护自己，木马会想尽办法来隐藏自己。以往，木马通常会通过“开始”菜单的“启动”项或注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项来启动自己，也有的木马会注册为系统的“服务”程序，而那些老旧的方法，比如在Autoexec.bat、Config.sys、Winstart.bat、Win.ini、System.ini、Wininit.ini等文件中加载木马程序，大家更是耳熟能详。
不过，随着木马技术的发展，木马的隐藏方法已经变得越来越高明了。所谓“知己知彼，百战不殆”，要想防“马”，当然要先“知”马。下面，笔者就为您介绍一些鲜为人知的木马隐藏方法。
“组策略”中的木马
通过“组策略”来加载木马这种方式非常隐蔽，不易为人发现。具体方法是：
点击“开始”菜单中的“运行”，输入Gpedit.msc，打开“组策略”。在“本地计算机策略”中顺次点击“用户配置”→“管理模板”→“系统”→“登录”，然后双击“在用户登录时运行这些程序”子项，出现对话框，

onclick="if(this.width>screen.width-461) window.open('http://www.netadmin.com.cn/experience/20050112/beryl20050112103754.jpg');" onerror="src='image/nopic.gif'" src="http://www.netadmin.com.cn/experience/20050112/beryl20050112103754.jpg" onload="if(this.width>screen.width*0.7)this.width=screen.width*0.7" border=0>
在这里进行属性设置，选定“设置”中的“已启用”，单击“显示”按钮，会弹出“显示内容”窗口。单击“添加”按钮，出现“添加项目”窗口，在其中的文本框中输入要自动运行的文件所在的路径，单击“确定”按钮后重新启动计算机，系统便会在登录时自动运行所添加的程序。
提示：如果自启动的文件不是位于%Systemroot%目录中，则必须指定文件的完整、有效路径。
如果我们刚才在“组策略”中添加的是木马，就会出现一个“隐形”的木马。在“系统配置实用程序”Msconfig中，我们是无法发现该木马的，因为在注册表项中，如HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run项和HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun项，根本找不到相应的键值。所以说，这种加载木马的方式是非常隐蔽的，对普通用户的危胁也非常大。
实际上，通过这种方式添加的自启动程序依然会被记录在注册表中，只不过不是在我们所熟悉的那些注册表项下，而是在注册表的HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionPoliciesExplorerRun项中加载。所以，如果您怀疑自己的电脑中有木马，却找不到它躲在哪儿，可以到上述的注册表项中去看一看，或者到“组策略”的“用户配置→管理模板→系统→登录”下的“在用户登录时运行这些程序”中查看一下，也许会有所发现。