计算机木马可以自启动吗_木马程序能否自行启动

木马进入计算机后自动运行吗

-- 注册表？或者System.ini？

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！

1、集成到程序中

其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe

这时你就要小心了，这个file.exe很可能是木马哦。

4、伪装在普通文件中

这个 *** 出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体 *** 是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。

5、内置到注册表中

上面的 *** 让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

6、在System.ini中藏身

木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

7、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么 *** 你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦！

8、隐蔽在Winstart.bat中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

9、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

10、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。

木马如何实现开机自动运行

你好，木马要实现开机启动，有数种途径，最常见的是注册表，主要涉及到的注册表子键有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值，容易涉及到映像劫持的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键下的各个子键，尤其是涉及到杀毒软件名称及重要HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks子键右侧窗口中的键值，及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中的Userinit键值也是容易被篡改的对象，如果是XP系统，还要提防HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows右面窗口中的AppInit_Dlls键值内容是否被篡改，这个键值内容默认为空。有些是以驱动程序形式进行加载，不过这些都难不倒腾讯电脑管家，你在“杀毒”选项中点击闪电查杀之时，电脑管家就会自动扫描这些系统关键位置，发现可疑注册表项目就会提示你进行修复。当然，一旦感觉可能中了病毒木马，更好是点击一下全盘查杀，将其它位置的文件也一并检查了。当然，你也可以自行在电脑管家的“电脑加速”中点击启动项查看，发现可疑的可以直接将其设置到已禁用。

还有是加载到服务项中，其实这也是涉及到注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentContrlset\Services子键下的各个子键，只是这里面的东西实在太多，不能随便删除，操作不当的话，你的电脑就瘫痪了。你可以在电脑管家的电脑加速中点击服务项，仔细查看可疑的服务项，将其设置为已禁用。

木马的启动项还可能会加载到计划任务中，你在电脑管家的电脑加速中点击计划任务，也同样可以查看可疑的计划任务项并设置为已禁用。

不过木马的模块也可能会插入到系统进程，如Explorer.exe中以实现自身的自动启动，遇有这种文件，你可以点击右下角的工具箱，选择文件粉碎，点击添加文件按钮，添加木马模块文件，然后点击粉碎按钮。

如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。

计算机木马入侵到Windows系统后有哪些自启动方式

启动方式有很多。比如：注册表启动、服务启动、ActiveX启动，映像劫持...

Windows自启动程序十大藏身之所

Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉，实际上，在Windows

XP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。

一、当前用户专有的启动文件夹

这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：\Documents

and

Settings\用户名字\「开始」菜单\程序\启动，其中“用户名字”是当前登录的用户帐户名称。

二、对所有用户有效的启动文件夹

这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：\Documents

and

Settings\All

Users\「开始」菜单\程序\启动。

三、Load注册键

介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\

CurrentVersion\Windows\load。

四、Userinit注册键

位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\

Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。

木马的启动方式有几种

方式一：借助启动程序

此方式是最常见的，像一般的软件设置引导是一样的，但现在的木马一般不使用这种方式，因为当它们出现在 “开始” 菜单的 “开始” 时，很容易找到行踪并被处置。

方式二：借助注册表

直接调用注册表进行启动，这是很多Windows程序采用的 *** ，也是木马最常用的 *** 。使用起来很方便，但是很容易被发现。因为应用广泛，几乎一提到木马就会让人想到这些注册表中的主键，而木马通常使用最后一个。

方式三：通过DOS自启动程序

一般会借助一些在DOS系统下会自动启动的程序文件，这些文件在DOS环境下会自动启动木马也会借助这些文件来启动。

其实这种 *** 并不适合木马使用，因为该文件会在Windows启动前运行，这时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。木马此时也就失效了，但是仍然要防范，因为木马的伪装就是要做到让你无从下手。

方式四：通过System.ini文件启动

实际上，System.ini文件并没有给用户可用的启动项目，然而通过它启动却是非常好用的。在System.ini文件的“Boot”域中的Shell项的值正常情况下是explorer exe，这是Windows的外壳程序，换一个程序就可以彻底改变Windows 的面貌。

方式五：寄生于特定程序之中跟随程序启动

即木马和正常程序捆绑，有点类似于病毒，程序在运行时，木马程序先获得控制权或另开一个线程以监视用户操作、截取密码等，这类木马编写的难度较大，需要了解PE文件结构和Windows的底层知识。

方式六：将特定的程序改名

木马会将自己的图标修改为一些常用的程序图标，然后把原有的的程序卸载或者隐藏，一旦用户去启动这些程序则主动地启动了这些木马程序。

方式七：文件关联

一般情况下木马程序会将自己和TXT文件或EXE文件关联，这样当打开一个文本文件或运行一个程序时，木马也就偷偷地启动了。