木马为了生存会想尽办法隐藏自己，早期的木马通常会采用以下方式来实现自启动，比方说通过“开始”菜单的“启动”项来加载自己，通过注册表的有关项目来启动木马，还有的木马会注册为系统服务来迷惑我们。不过，除此之外木马还有多种隐藏自己的方法，所以我们绝不能掉以轻心。知己知彼，方能百战不殆，下面我们就谈谈这些鲜为人知的木马隐藏方法。

    “组策略”中的木马

    通过“组策略”来加载木马非常隐蔽，不易为人所发现。具体方法是：点击“开始”菜单中的“运行”，输入“Gpedit.msc”并回车，这样就可以打开“组策略”，在“本地计算机策略”中顺次点击“用户配置→管理模板→系统→登录”（图1），然后双击“在用户登录时运行这些程序”子项，出现如图所示对话框（图2），在这里进行属性设置，选定“设置”中的“已启用”，接下来单击“显示”按钮，会弹出“显示内容”窗口（图3），再单击“添加”按钮，出现“添加项目”窗口（图4），在其中的文本框中输入要自动运行的文件所在的路径，最后单击“确定”按钮，然后重新启动计算机就可以了，系统在登录时会自动启动我们添加的程序。注意：如果自启动的文件不是位于%Systemroot%目录中，则必须指定文件的完整路径。

    如果我们刚才在“组策略”中添加的是木马，就会诞生一个“隐形”的木马！这是因为在“系统配置实用程序”Msconfig中你是无法发现该木马的，在大家周知的注册表项如HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项你也无法找到相应的键值，所以这种加载木马的方式还是非常隐蔽的，对普通用户来说威胁也更大一些

    难道这种加载木马的启动方式就那么无懈可击吗？当然不是！其实，通过这种方式添加的自启动程序依然被记录在注册表中，只不过不是在我们所熟悉的那些注册表项下，而是在在注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项中。所以，如果你怀疑电脑中可能有木马，却找不到它躲在哪儿，那就到上述注册表项目或者组策略选项中看看，也许你会有所发现！

    暗藏杀机的注册表项

    利用注册表项加载木马一直是木马的最爱，我们也很熟悉它们的这种手段了，不过有一种新的利用注册表来隐藏木马的方法您可能还不知道，具体方法是：点击“开始”菜单中的“运行”，输入Regedit回车，打开注册表编辑器。展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Win dowsNT\CurrentVersion\Windows项，新建一个字符串值，命名为“load”，把它的键值改为自启动程序的路径即可。注意：要使用文件的短文件名，即“C:\Program Files”应该写为“C:\Progra~1”，且自启动程序的后面不能带有任何参数。另外要提醒大家注意的是，如果改为在注册表的HKEY_USERS\用户ID号\Software\Microsoft\Windows NT\CurrentVersion\Windows项加载，则本方法对其他用户也有效，否则换个用户名登陆就不管用了。

    建议大家以后检查木马及病毒程序时也要注意这里，免得被人有机可乘。另外，这个方法只对Windows 2000/XP/2003有效，使用Windows 9x的用户不用担心。

    利用AutoRun.inf加载木马

    经常使用光盘的朋友都知道，某些光盘放入光驱后会自动运行，这种功能的实现主要靠两个文件，一个是系统文件之一的Cdvsd.vxd，一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

    这个貌似神奇的功能其实很简单，不仅能应用于光盘中，同样也可以应用于硬盘中（要注意的是AutoRun.inf必须存放在磁盘根目录下才能起作用）。让我们一起看看AutoRun.inf文件的内容吧。打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：

    [AutoRun]

    Icon=C:\Windows\System\Shell32.DLL,21

    Open=C:\Program Files\ACDSee\ACDSee.exe

    解释一下：一个标准的AutoRun文件必须以[AutoRun]开头，第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标。Shell32.DLL是Windows系统文件，里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标；第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。

    如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性（不易被发现），则点击硬盘就会启动木马！反过来讲，这倒的确是一种很不错的程序自启动方式。

    为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可关闭硬盘的AutoRun功能，把它的键值改为B5,00,00,00则可禁止光盘的AutoRun功能。注意改后要重新启动计算机才能生效。

    屏幕保护也可能成为木马的帮凶　

    Windows的屏幕保护程序对应的是.scr文件，在默认情况下保存在Windows的安装目录下。如果把.scr更名为.exe文件，则该程序仍然可以正常启动。与此类似，.exe文件更名为.scr文件也照样可以运行！顺便提一下，把.exe文件改名为.com、.pif、.bat后，exe文件仍旧可以自由运行！这在exe文件关联丢失后非常有用，我们可以把exe文件的扩展名改为上述扩展名程序就可以运行了。

    在屏幕保护程序中，我们可以设定它的等待时间，这个启动时间其实是可以在注册表中设定的： HKEY_USERS\.DEFAULT\Control Panel\desktop，其下的字符串值ScreenSaveTimeOut记录的就是屏保程序的等待时间，时间单位为秒，从60秒开始记录，如果记录时间小于60秒，则自动定为1分钟。是否选择了屏幕保护程序可以在system.ini文件中看出来。在“开始”菜单的“运行”中输入msconfig，找到System标签，找到里面的[boot]小节，你可以看到有“SCRNSAVE.EXE=”这一行。在它后面是屏保文件的路径。如果你设定了屏保程序，这一行前面就会有一个“√”，反之则没有“√”。

    由上面的介绍可以产生一个联想：如果把.exe文件重命名为.scr文件（假设改为trojan.scr），并在SYSTEM.INI中添加“SCANSAVE.EXE=C:\Program files\trojan.scr”，然后修改注册表中的HKEY_USERS\.DEFAULT\Control Panel\desktop下的字符串值ScreenSaveTimeOut，把其键值改为60，则系统只要闲置一分钟该文件就会被启动！由此可以看出，如果这种方法被木马或病毒等恶意程序所利用，后果非常可怕。防范这种攻击的方法就是禁止使用屏幕保护功能！