木马病毒是如何开始的？木马病毒的六种启动方式介绍

当用户的电脑被有爱心的人植入木马或病毒后，会随着电脑的启动而开启，拥有一定的控制权。启动它的方式有很多种，比如通过注册表启动、通过System.ini启动、通过某些特定的程序启动等。其实只要能阻止它启动，木马就没用了，那就木马病毒有哪些启动方式呢？比如特洛伊木马？

特洛伊木马病毒启动方式：

特洛伊木马通过远程控制启用。这种特洛伊木马病毒会根据黑客的远程指令修改系统文件并从您的计算机中窃取数据。如果你的电脑里有木马，可以用杀毒软件杀死你的电脑，可以彻底杀死木马病毒。

木马病毒的启动方式

一、通过“开始\程序\启动”

隐藏：2颗星

应用程度：低

这也是一种很常见的方式，很多正常的程序都会用到。人们常用的QQ就是这样开始的，但是木马很少用。因为启动该组的每个人都会出现在系统配置实用程序(msconfig.exe)中。事实上，出现在“开始”菜单的“程序\启动”中就足以吸引新手的注意力，所以我相信没有木马会使用这种启动模式。

二、通过Win.ini文件

隐藏：3颗星

应用程度：低

和启动组一样，这个方法从Windows3.2开始就可以用了，是从Win16继承到Win32的。在Windows3.2中，Win.ini相当于Windows9x中的注册表。该文件中[Windows]域中的加载和运行项将在Windows启动时运行，这两项也将出现在msconfig中。而且这两项在安装Windows98后会被Windows程序使用，不太适合木马。

三、通过注册表启动

1.通过：

HKEY _当前_用户\软件\微软\视窗\当前版本\运行

HKEY _ LOCAL _ MACHINE \软件\微软\ Windows \当前版本\运行

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ RunServices

隐藏：3.5星

应用程度：极高

应用案例：BO2000、GOP、NetSpy、IEthief、冰川…

这是很多Windows程序采用的方法，也是木马最常用的方法。使用起来很方便，但是很容易被发现。因为应用广泛，几乎一提到木马就会让人想到这些注册表中的主键，而木马通常使用最后一个。Windows自带程序：msconfig或注册表编辑器(regedit.exe)可以轻松删除，所以这个方法不太靠谱。但是，可以在特洛伊木马程序中添加时间控件，以实时监控注册表中是否存在自己的启动键值。一旦发现被删除，会立即重写，确保下次Windows启动时可以运行。这样，木马程序和注册表中的启动键值就形成了相互保护的状态。如果木马程序未挂起，则无法删除启动键值(手动删除后，会自动添加木马程序)。相反，如果不删除启动键值，下次启动Windows时就会启动木马。我该怎么办？其实破解并不难，即使没有任何工具和软件，这种相互保护也可以轻松释放。

破解方法：首先，在安全模式下启动Windows。此时Windows不会加载注册表中的项目，所以木马不会启动，相互保护的情况不会被打破；然后，您可以删除注册表中的键值和相应的特洛伊木马程序。

2.已通过：

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

HKEY _当前_用户\软件\微软\视窗\当前版本\运行一次

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce

隐藏：4星

应用程度：低

申请案例：1999年9月快乐

这种方法似乎没有被很多人使用，但是它的隐蔽性比以前的方法更好，它的内容不会出现在msconfig中。该键值下的项目与前一项类似，将在Windows启动时启动。但是Windows启动后，这个键值下的项目会被清空，不容易被发现，只能启动一次。木马怎么工作？

其实很简单，不能只启动一次吗？为什么不在木马启动成功后再在这里添加呢？在Delphi中，这只是3、5行。这些项目虽然不会出现在msconfig中，但可以在Regedit中直接删除，木马从此失效。

还有一种方法，不是在启动时添加，而是在退出WIndows时添加。这就需要木马本身拦截Windows的消息。当发现关闭窗口的消息时，暂停关闭过程，添加注册表项，然后开始关闭窗口，这样Regedit就找不到它的踪迹了。这种方法也有一个缺点，就是一旦Windows异常中止(Windows9x经常出现这种情况)，木马就会失效。

破解它们的方法也可以使用安全模式。

此外，这三个关键值的使用也不完全相同。通常木马会选择第一个，因为第二个键值下的项目会在Windows启动前运行，等待程序完成后再继续启动Windows。

四、通过Autoexec.bat文件，或winstart.bat，config.sys文件

隐藏：3.5星

应用程度：低

其实这种方法并不适合木马，因为文件会在Windows启动前运行，当系统处于DOS环境下，只能运行16位应用，Windows下的32位程序无法运行。因此，木马的意义就失去了。但是，这并不是说不能用来启动木马。可以想象，SoftIce for Win98(一个功能强大的程序调试工具，被黑客视为珍宝，经常用来破解应用)在Windows中调出一个窗口进行调试之前，必须在Autoexec.bat文件中运行。在这种情况下，谁能保证木马不会这样启动呢？到目前为止，我还没有见过木马这样启动的。我想能写出这样木马的人，一定是高手中的高手。

此外，这两个BAT文件经常被用于销毁。他们将添加类似“Deltree C:\*”的行。*.*”和“格式化C:/u”到这个文件，这样你的c驱动器在你启动计算机后启动Windows之前就已经是空的了。

五、通过System.ini文件

隐藏：5星

应用程度：一般

事实上，System.ini文件并没有给用户一个可用的启动项目，但是它非常容易使用。System.ini文件[[Boot]]字段中shell项的值一般为“Explorer.exe”，是Windows的Shell程序，一个新的程序完全可以改变Windows的面貌(比如改成Progman.exe就可以把Win9x变成Windows3.2)。我们可以在“Explorer.exe”后面加上木马程序的路径，这样木马就会在Windows启动后启动，即使是在安全模式下启动，也不会跳过这个项目，这样就可以保证木马永远跟Windows一起启动。著名的尼姆达病毒就采用了这种方法。这时如果木马程序也有自动检测和添加Shell项的功能，那就是绝配了。我觉得除了用查看进程的工具来阻止木马，修改Shell项，删除木马文件，没有办法破解。但是这个方法也有一个固有的不足，因为只有Shell。如果两个木马用这种方法实现自启动，那么后面的木马可能会让前面的无法启动。

六、通过某特定程序或文件启动

1.寄生在特定程序中

隐藏：5星

应用程度：一般

也就是说，特洛伊木马与正常程序捆绑在一起，这有点类似于病毒。当程序运行时，木马首先获得控制权或打开另一个线程来监控用户的操作、拦截密码等。这种木马很难写，需要了解PE文件结构和Windows底层知识(直接使用捆绑程序除外)。

2.重命名特定程序

隐藏：5星

应用程度：普通

这种方法常见于以QQ为目标的木马，比如将QQ启动文件的QQ2000b.ico更改为QQ2000b.ico.exe(Windows默认不显示扩展名，所以会显示为QQ2000b.ico，用户会认为是图标)，然后将木马程序更改为QQ2000b.ico。之后，用户实际运行QQ木马，然后真正的QQ由QQ木马启动，这比前一个简单得多。

3.文件关联

隐藏：5星

应用程度：普通

通常，特洛伊木马会将自己与TXT文件或EXE文件相关联，这样当您打开文本文件或运行程序时，特洛伊木马就会不被注意地启动。

每一台被病毒入侵或感染、植入木马的电脑都有不寻常的体验，比如访问一些钓鱼网站、下载病毒程序、安装恶意软件等我们很少关注的问题。发现木马病毒很难，但杀死它们并不难。一般只删除对应的文件和注册表项。