英雄剑:木马自动运行有几种方法?怎么用?能解说一下吗?

特殊启动1：
??在注册表中除了上述的普通的启动方式以外，还可以利用一些特殊的方式达到启动
的目的：
??[HKEY_CLASSES_ROOTexefileshellopencommand] @=\"%1\" %*
??[HKEY_CLASSES_ROOTcomfileshellopencommand] @=\"%1\" %*
??[HKEY_CLASSES_ROOTbatfileshellopencommand] @=\"%1\" %*
??[HKEY_CLASSES_ROOThtafileshellopencommand] @=\"%1\" %*
??[HKEY_CLASSES_ROOTpiffileshellopencommand] @=\"%1\" %*
??[HKEY_LOCAL_MACHINESoftwareCLASSESbatfileshellopencommand] @=\"%1\" %*
??[HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand] @=\"%1\" %*
??[HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand] @=\"%1\" %*
??[HKEY_LOCAL_MACHINESoftwareCLASSEShtafileshellopencommand] @= \"%1\" %*
??[HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand] @=\"%1\" %*
??
??其实从注册表的路径上也许就隐约可以看出，这些都是一些经常被执行的可执行文
件的键值。往往有些木马是可以更改这些键值从而达到加载的目的：
??如果我把“”%1”%*”改为“file.exe”%1”%*”则文件file.exe就会在每次执行
某一个类型的文件（要看改的是哪一个文件类型）的时候被执行！ 当然，可以被更改的
不一定只是可执行文件，譬如冰河就利用了TXT文件的键值：
??[HKEY_CLASSES_ROOTtxtfileshellopencommand]实现木马的一种启动方式。
??
??3.特殊启动2：
?在注册表中：
??HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD
??的位置上有这样的地址。该地址是系统启动VxD驱动文件放置的地址，就像PrettyP
ark这个蠕虫一样，可以建立一个主键之后把VxD文件添加到注册表中在这里。
??注意：不可以直接把一个EXE文件改名为VxD文件，需要另外进行编程，生成的VxD文
件。
??
??4.其他启动方式：
??
??(一).C:Explorer.exe启动方式：
??这是一种特殊的启动方式，很少有人知道。
??在Win9X下，由于SYSTEM.INI只指定了Windows的外壳文件EXPLORER.EXE的名称，而
并没有指定绝对路径，所以Win9X会搜索EXPLORER.EXE文件。
??搜索顺序如下：
??(1).??搜索当前目录。
??(2).??如果没有搜索到EXPLORER.EXE则系统会获取
??[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironm
entPath]的信息获得相对路径。
??(3).??如果还是没有文件系统则会获取[HKEY_CURRENT_USEREnvironmentPath]的
信息获得相对路径。
??
??其中：
??[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironm
entPath]和[HKEY_CURRENT_USEREnvironmentPath]所保存的相对路径的键值为：“%Sys
temRoot%System32;%SystemRoot%”和空。
??所以，由于当系统启动时，“当前目录”肯定是%SystemDrive%（系统驱动器），这
样系统搜索EXPLORER.EXE的顺序应该是：
??(1).??%SystemDrive%（例如C:）
??(2).??%SystemRoot%System32（例如C:WINNTSYSTEM32）
??(3).??%SystemRoot%（例如C:WINNT）
??此时，如果把一个名为EXPLORER.EXE的文件放到系统根目录下，这样在每次启动的
时候系统就会自动先启动根目录下的EXPLORER.EXE而不启动Windows目录下的EXPLORER.
EXE了。
??在WinNT系列下，WindowsNT/Windows2000更加注意了EXPLORER.EXE的文件名放置的
位置，把系统启动时要使用的外壳文件（EXPLORER.EXE）的名称放到了：
??[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell
]
??这个位置。
??作为默认这个位置是不存在的，默认为是Explorer.exe。
??具体请参考：http://www.microsoft.com/technet/security/bulletin/fq00-052.
asp
??注意：
??一定要确定根目录下的EXPLORER.EXE要能启动Windows目录下的EXPLORER.EXE，否则
会导致Windows无法启动！
??现在流行的病毒CodeRed就会在C:和D:目录下放置两个约8KB的EXPLORER.EXE的文件
！
??在Windows 2000 SP2中微软已经更改了这一方式。
??(二).屏幕保护启动方式：
??Windows的屏幕保护程序是一个.scr文件。这是一个PE格式的可执行文件。如果把屏
幕保护程序.scr更名为.exe的文件，则该程序仍然可以正常启动。类似的.exe文件更名
为.scr文件也是一样可以被运行！
??.scr文件默认存在于C:Windows目录中，他的名字就是在“显示”属性中的“屏幕保
护程序”中的名称。在C:Windows目录下的所有*.scr文件都会被Windows的“屏幕保护程
序”显示，而文件路径本身保存在System.ini中的SCRNSAVE.EXE=的这条中。有意思的是
在SCRNSAVE.EXE=这条中，其规定的路径也包含了目录名称。即如果我想安装一个.scr文
件时，譬如安装路径为D:SCR1.scr，而D:SCR这个目录中还有2.scr，则在这个目录中的
所有.scr（1.scr，2.scr）文件都会被显示在“屏幕保护程序”设置中。如果屏幕保护
程序设为“（无）”，则SCRNSAVE.EXE=这条不存在。但如果SCRNSAVE.EXE=这条所指的
文件或目录是错误的，则在“屏幕保护程序设置”中仍然会显示“（无）”。
??
??屏幕保护程序的启动时间保存在注册表中的这个位置上：
??HKEY_USERS.DEFAULTControl PaneldesktopScreenSaveTimeOut
??时间单位为秒，不过虽然是秒，可启动时间却为分，即从60秒开始记录，如果记录
时间小于60秒，则自动定为1分钟。
??屏幕保护是否设置密码的键值为：
??HKEY_USERS.DEFAULTControl PaneldesktopScreenSaveUsePassword
??有密码则值为1没有密码则值为0。
??由此可见，如果有人把自己所作的.exe程序更名为.scr的程序，并使程序能够在SY
STEM.INI中添加“SCANSAVE.EXE=/%Path%”f/ile.scr”（/%Path%/file.scr为所需要设
置的文件的路径和文件名，如C:Program filestrojan.scr），修改注册表中的HKEY_US
ERS.DEFAULTControl PaneldesktopScreenSaveTimeOut，定时间为60，则系统只要闲置
一分钟该文件就会被启动！
??另外一个简单的破坏方式就是可以随机产生屏幕保护密码并写入相应文件的相应位
置，定时间为1分钟，则系统只要闲置一分钟则会被被锁！（由于涉及问题并非自启动问
题，所以不加以讨论。）
??注意：由于SCANSAVE.EXE=这里还会定义.scr文件的路径，所以最好不要把要启动的
文件放置在.scr文件较多的一些目录，否则容易引起怀疑。（Windows目录除外） （三
）.依附启动：
??这类启动方式已经有几分类似病毒了。这种方法是利用病毒的传染机制把要启动的
EXE文件附着在另外的一个和多个EXE文件上，从而达到启动这个EXE文件就可以启动要启
动的文件的目的。记得1999年YAI这个木马流行的时候，它就使用了依附一个EXE文件而
达到启动的目的，但是由于BUGS和方式问题该木马的破坏作用却体现在了它“病毒”的
一面。
??使用这种启动方法一定要注意不能破坏EXE文件（否则会很容易被发现），而且最好
把木马定位在固定的一个或者几个EXE文件上。如：IEXPLORE.EXE（IE的EXE文件），RN
APP.EXE（拨号网络的EXE文件）等等。
??注意：这种方法的使用比较危险，技术上也需要相当功底，而且和病毒的距离很近
，慎用。

服务，文件关联，注册表（少见），DLL注入！