开机自动运行的位置和木马运行方式

1. 把程序或快捷方式放在 C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动\
2. 注册表位置：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

RunOnce、RunServices等
3. 木马启动的三个位置 http://bbs.ikaka.com/showtopic-8129436.aspx

----------1-------------------------

Hkey_current_user\software\microsoft\windows nt\currentversion \windows 建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则，如c:\program files 应为c:\progra~1

这种方式用优化大师看不到

----------2-------------------------

HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径 这样我门的程序就可以随系统启动了。

----------3-------------------------

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”这个键值，这个键值默认为c: \WINNT\system32\userinit.exe，后面加路径，再加逗号也可以
4. 木马对文件关联的利用

更改文件的打开方式，注册表

如HKEY_CLASSES_ROOT\exefile\shell \open\command，这里是exe文件的打开方式，默认键值为：“%1”%*。如果把默认键值改为Trojan.exe“%1”%*，您每次运行 exe文件，这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式，而大名鼎鼎的木马冰河采用的是也与此相似的一招——关 联txt文件。
5. 木马对设备名的利用

在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。

具 体方法是：点击“开始”菜单的“运行”，输入cmd.exe，回车进入命令提示符窗口，然后输入md c:con\命令，可以建立一个名为con的目录。默认请况下，Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目 录。再试试输入md c:aux\命令，可以建立aux目录，输入md c:prn\可以建立prn目录，输入md c:com1\目录可以建立Com1目录，而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试，您会发现当我们试图打开以aux或com1命名的文件夹
时，explorer.exe失去了响应

在CMD窗口中输入copy muma.exe \.c:aux\命令，就可以把木马文件muma.exe复制到C盘下的aux文件夹中，然后点击“开始”菜单中的“运行”，在“运行”中输入c:aux muam.exe，就会成功启动该木马。

另外可利用开机脚本，也可以利用cmd.exe的autorun：

HKEY_LOCAL_ MACHINE\Software\Microsoft\Command Processor下建一个字串AutoRun，值为要运行的.bat文件或.cmd文件的路径
6. AutoRun.inf自动播放

禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展 开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Exploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其 键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。
7. 添加服务
8. AppInit_DLLs木马

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows项的AppInit_DLLs键来启 动，此键的DLL文件会在电脑启动时加载到WINLOGON系统进程，并加载到随后启动的每一个进程
9. 映像劫持（Image File Execution Options）IFEO

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

http://www.3800hk.com/news/w45/138551.html (系统对Image File Execution Options的检测流程小探)

详解WINDOWS映像劫持技术

http://hi.baidu.com/%B2%A1%B6%BE%D4%B4%B4%FA%C2%EB/blog/item/d6a28f35fca6c088a61e1298.html
10.通过System.ini文件 http://www.it.com.cn/f/edu/0712/7/518487.htm

在 System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe"，这是Windows的外壳程序，换一个程序就 可以彻底改变Windows的面貌（如改为Progman.exe就可以让Win9x变成Windows3.2）。我们可以 在"Explorer.exe"后加上木马程序的路径，这样Windows启动后木马也就随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也 就可以保证永远随Windows启动了，名噪一时的尼姆达病毒就是用的这种方法。
11.程序捆绑
12.组策略

“本地计算机策略”中有两个选项：“计算机配置”与“用户配置”，展开“用户配置→管理模板→系统→登录”，双击“在用户登录 时运行这些程序”子项进行属性设置，选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内 的文本框中输入要自启动的程序的路径，单击“确定”按钮就完成了。

　　重新启动计算机，系统在登录时就会自动启动你添加的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的，同样在我们所熟知的注册表项中也是找不到的，所以非常危险。

通过这种方式添加的自启动程序被记录在注册表中

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项