文章大纲：

• 1、木马怎样启动?
• 2、目前大部分木马病毒经常用到的启动加载方式是哪些？
• 3、木马有几种启动方式？
• 4、特洛伊木马是如何启动的
• 5、木马病毒采用什么运行方式

木马怎样启动?

多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具 *** 置在：HKEY_LOCAL _MACHINE/Software /Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER/Software/ Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_USERS/Default/Software/Microsoft/Windows/CurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:/windows/file.exe或load=c:/windows/file.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径/程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种 *** 并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: /Windows/Start Menu/Programs/StartUp，在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

目前大部分木马病毒经常用到的启动加载方式是哪些？

木马是随计算机或Windows的启动而启动并掌握一定的控制权的，其启动方式可谓多种多样，通过注册表启动、通过System.ini启动、通过某些特定程序启动等，真是防不胜防。其实只要能够遏制住不让它启动，木马就没什么用了，这里就简单说说木马的启动方式，知己知彼百战不殆嘛。

一、通过"开始\程序\启动"

隐蔽性：2星

应用程度：较低

这也是一种很常见的方式，很多正常的程序都用它，大家常用的 *** 就是用这种方式实现自启动的，但木马却很少用它。因为启动组的每人会会出现在 “系统配置实用程序”（msconfig.exe，以下简称msconfig）中。事实上，出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意，所以，相信不会有木马用这种启动方式。

二、通过Win.ini文件

隐蔽性：3星

应用程度：较低

同启动组一样，这也是从Windows3.2开始就可以使用的 *** ，是从Win16遗传到Win32的。在Windows3.2中， Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在 msconfig中。而且，在Windows98安装完成后这两项就会被Windows的程序使用了，也不很适合木马使用。

三、通过注册表启动

1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

隐蔽性：3.5星

应用程度：极高

应用案例：BO2000，GOP，NetSpy，IEthief，冰河……

这是很多Windows程序都采用的 *** ，也是木马最常用的。使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表中的主键，通常木马会使用最后一个。使用Windows自带的程序：msconfig或注册表编辑器（regedit.exe，以下简称 regedit）都可以将它轻易的删除，所以这种 *** 并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除（手工删除后，木马程序又自动添加上了），相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢？其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。

破解 *** ：首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了；然后，你就可以删除注册表中的键值和相应的木马程序了。

2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce，

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

隐蔽性：4星

应用程度：较低

应用案例：Happy99月

这种 *** 好像用的人不是很多，但隐蔽性比上一种 *** 好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在 Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢？

其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。

还有一种 *** ，不是在启动的时候加而是在退出Windows的时候加，这要求木马程序本身要截获WIndows的消息，当发现关闭 Windows消息时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样用Regedit也找不到它的踪迹了。这种 *** 也有个缺点，就是一旦 Windows异常中止（对于Windows9x这是经常的），木马也就失效了。

破解他们的 *** 也可以用安全模式。

另外使用这三个键值并不完全一样，通常木马会选择之一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束会才继续启动Windows。

四、通过Autoexec.bat文件，或winstart.bat，config.sys文件

隐蔽性：3.5星

应用程度：较低

其实这种 *** 并不适合木马使用，因为该文件会在Windows启动前运行，这时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想象，SoftIce for Win98（功能强大的程序调试工具，被黑客奉为至宝，常用于破解应用程序）也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口，进行调试的，既然如此，谁能保证木马不会这样启动呢？到目前为止，我还没见过这样启动的木马，我想能写这样木马的人一定是高手中的高手了。

另外，这两个BAT文件常被用于破坏，它们会在这个文件中加入类似"Deltree C：\*.*"和"Format C：/u"的行，这样，在你启动计算机后还未启动Windows，你的C盘已然空空如也。

五、通过System.ini文件

隐蔽性：5星

应用程度：一般

事实上，System.ini文件并没有给用户可用的启动项目，然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的 Shell项的值正常情况下是"Explorer.exe"，这是Windows的外壳程序，换一个程序就可以彻底改变Windows的面貌（如改为 Progman.exe就可以让Win9x变成Windows3.2）。我们可以在"Explorer.exe"后加上木马程序的路径，这样 Windows启动后木马也就随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也就可以保证永远随Windows启动了，名噪一时的尼姆达病毒就是用的这种 *** 。这时，如果木马程序也具有自动检测添加Shell项的功能的话，那简直是天衣无缝的绝配，我想除了使用查看进程的工具中止木马，再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足，因为只有Shell这一项嘛，如果有两个木马都使用这种方式实现自启动，那么后来的木马可能会使前一个无法启动，呵呵以毒攻毒啊。

六、通过某特定程序或文件启动

1、寄生于特定程序之中

隐蔽性：5星

应用程度：一般

即木马和正常程序捆绑，有点类似于病毒，程序在运行时，木马程序先获得控制权或另开一个线程以监视用户操作，截取密码等，这类木马编写的难度较大，需要了解PE文件结构和Windows的底层知识（直接使用捆绑程序除外）。

2、将特定的程序改名

隐蔽性：5星

应用程度：常见

这种方式常见于针对 *** 的木马，例如将 *** 的启动文件 *** 2000b.exe，改为 *** 2000b.ico.exe（Windows默认是不显示扩展名的，因此它会被显示为 *** 2000b.ico，而用户会认为它是一个图标），再将木马程序改为 *** 2000b.exe，此后，用户运行 *** ，实际是运行了 *** 木马，再由 *** 木马去启动真正的 *** ，这种方式实现起来要比上一种简单的多。

3、文件关联

隐蔽性：5星

应用程度：常见

通常木马程序会将自己和TXT文件或EXE文件关联，这样当你打开一个文本文件或运行一个程序时，木马也就神不知鬼不觉的启动了。

这类通过特定程序或文件启动的木马，发现比较困难，但查杀并不难。一般地，只要删除相应的文件和注册表键值即可。

木马有几种启动方式？

键盘记录木马

这个特洛伊木马很简单。他们只做一件事，那就是记录受害者的键盘击键，并在LOG文件中找到密码，然后由Windows启动来启动它。他们具有在线和离线记录选项，当您在在线和离线状态下敲击键盘时，可以记录击键，以便您可以按一下按钮，黑客就可以从记录中知道，并且很容易就可以将您从它。有用的信息，例如密码，甚至您的信用卡帐户！当然，对于这种类型的特洛伊木马，许多都具有邮件发送功能，它将自动将密码发送到黑客指定的邮箱。

DoS攻击木马

当黑客入侵计算机并向其发出DoS攻击木马时，此计算机将不会反映在受感染的计算机中，而不是计算机中。受攻击控制的肉鸡数量越多，发起Dos攻击的可能性就越大。黑客使用它来攻击一台计算机，从而对 *** 造成巨大的破坏和损失。

还有一个类似DoS的木马，称为邮件炸弹木马。一旦机器被感染，特洛伊木马程序将随机生成各种主题的信件，并将继续向特定的邮箱发送电子邮件，直到对方感到尴尬并且无法接受邮件为止。

FTP木马

该木马可能是最简单，最古老的木马。它的唯一功能是打开21入口并等待用户连接。现在，新的FTP木马还增加了密码功能，以便只有攻击者才能知道正确的密码并进入另一台计算机。

反弹端口型木马

在分析了防火墙的特征之后，特洛伊木马开发人员发现防火墙通常对连接的链接执行非常严格的过滤，但是撤离了所连接的链接。与典型的Trojan相比，退回端口Trojan的服务器（控制台）使用主动端口，而客户端（控制台）使用被动端口。通常在80时开放，即使用户使用扫描软件检查自己的端口，他们也会发现类似的TCPUserIP：1026控制器IP：80ESTABLISHED的情况，有点疏忽，会认为他们正在浏览Web，因为正在浏览 *** 将打开80。

特洛伊木马

对于黑客而言，在入侵时掩盖自己的足迹非常重要。防止发现其身份非常重要。因此， *** 特洛伊木马程序最重要的任务是为受控肉鸡种下特洛伊木马并将其转变为攻击者。。通过 *** 特洛伊木马，攻击者可以在匿名情况下使用Telnet，ICQ，IRC等隐藏自己的踪迹。

程序杀手木马

尽管以上木马的功能多种多样，但既要在另一台机器上发挥自己的作用，又要防范木马软件。常见的反木马软件是ZoneAlarm，NortonAnti－Virus等。程序杀手Trojan的功能是关闭在另一台计算机上运行的此类程序，以便其他Trojans可以更好地工作。

扩展资料：

检测和寻找木马隐藏的位置

木马侵入系统后，需要找一个安全的地方选择适当时机进行攻击，了解和掌握木马藏匿位置，才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中，还有嵌入在启动文件中，一旦计算机启动，这些木马程序也将运行。

安装防火墙

防火墙在计算机系统中起着不可替代的作用，它保障计算机的数据流通，保护着计算机的安全通道，对数据进行管控可以根据用户需要自定义，防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。

特洛伊木马是如何启动的

您好：

特洛伊木马是采用远控的方式进行启用的，这种木马病毒会按照黑客的远程指令对您的电脑进行系统文件修改、资料盗取等操作，如果您的电脑中了特洛伊木马的话，您可以使用腾讯电脑管家的杀毒功能对您的电脑杀毒，腾讯电脑管家是完全可以彻底查杀干净特洛伊木马病毒的，您可以点击这里下载最新版本的腾讯电脑管家：最新版腾讯电脑管家下载

腾讯电脑管家企业平台：

木马病毒采用什么运行方式

不同的，特性运行都有不一样的

可以划分为 *** 病毒，文件病毒，引导型病毒。 *** 病毒通过计算机 *** 传播感染 *** 中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

轻的会经常弹出一些网页，拖慢网速；稍重的则会修改你的注册表，使文件无法正常使用；更严重的甚至会造成你的硬盘格式化，机器瘫痪。

所以，要保持计算机的正常运行就必须作好反病毒工作。

推荐你可以试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一，占内存小，杀毒好，防护好，无误报误杀。它拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。16层实时防护，随时保护我们的安全，而且操作也很简单，板块明确，新手一试就会。