1. 把程序或快捷方式放在 C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动\
2. 注册表位置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
RunOnce、RunServices等
3. 木马启动的三个位置 http://bbs.ikaka.com/showtopic-8129436.aspx
----------1-------------------------
Hkey_current_user\software\microsoft\windows nt\currentversion \windows 建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则,如c:\program files 应为c:\progra~1
这种方式用优化大师看不到
----------2-------------------------
HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径 这样我门的程序就可以随系统启动了。
----------3-------------------------
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\WindowsNT\CurrentVersion\Winlogon,找到“Userinit”这个键值,这个键值默认为c: \WINNT\system32\userinit.exe,后面加路径,再加逗号也可以
4. 木马对文件关联的利用
更改文件的打开方式,注册表
如HKEY_CLASSES_ROOT\exefile\shell \open\command,这里是exe文件的打开方式,默认键值为:“%1”%*。如果把默认键值改为Trojan.exe“%1”%*,您每次运行 exe文件,这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的木马冰河采用的是也与此相似的一招——关 联txt文件。
5. 木马对设备名的利用
在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。
具 体方法是:点击“开始”菜单的“运行”,输入cmd.exe,回车进入命令提示符窗口,然后输入md c:con\命令,可以建立一个名为con的目录。默认请况下,Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目 录。再试试输入md c:aux\命令,可以建立aux目录,输入md c:prn\可以建立prn目录,输入md c:com1\目录可以建立Com1目录,而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试,您会发现当我们试图打开以aux或com1命名的文件夹 时,explorer.exe失去了响应
在CMD窗口中输入copy muma.exe \.c:aux\命令,就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:aux muam.exe,就会成功启动该木马。
另外可利用开机脚本,也可以利用cmd.exe的autorun:
HKEY_LOCAL_ MACHINE\Software\Microsoft\Command Processor下建一个字串AutoRun,值为要运行的.bat文件或.cmd文件的路径
6. AutoRun.inf自动播放
禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展 开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Exploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其 键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。
7. 添加服务
8. AppInit_DLLs木马
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows项的AppInit_DLLs键来启 动,此键的DLL文件会在电脑启动时加载到WINLOGON系统进程,并加载到随后启动的每一个进程
9. 映像劫持(Image File Execution Options)IFEO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
http://www.3800hk.com/news/w45/138551.html (系统对Image File Execution Options的检测流程小探)
详解WINDOWS映像劫持技术
http://hi.baidu.com/%B2%A1%B6%BE%D4%B4%B4%FA%C2%EB/blog/item/d6a28f35fca6c088a61e1298.html
10.通过System.ini文件 http://www.it.com.cn/f/edu/0712/7/518487.htm
在 System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就 可以彻底改变Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们可以 在"Explorer.exe"后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也 就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。
11.程序捆绑
12.组策略
“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录 时运行这些程序”子项进行属性设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内 的文本框中输入要自启动的程序的路径,单击“确定”按钮就完成了。
重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危险。
通过这种方式添加的自启动程序被记录在注册表中
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项