把“StartUp”菜单中的文件全部复制(这里用复制,可以骗过用户的检查)到“启动”菜单中,然后把A木马的server程序放入“StartUp”文件夹中,最后把“StartUp”文件夹隐藏。大功告成! 从外表看来,用户的“开始→启动”目录还在,而且要启动的文件也在。但系统此时启动的文件不是名为“启动”的文件夹中的文件,而是名为“StartUp”的文件夹中的文件。由于“StartUp”文件夹被隐藏,从“开始→程序”中是无法看到真正的启动菜单“StartUp”,所以达到隐蔽启动的目的! 这个启动方式虽然隐蔽,但通过msconfig命令,在打开的“系统配置”对话框中的“启动”标签中查看得到。 二、系统配置文件启动 由于系统的配置文件对于大多数的用户来说都是相当陌生的,这就造成了这些启动方法相对来说都是相当隐蔽的,所以这里提到的一些方法常常会被用于做一些破坏性的操作,请读者注意。 1.Win.ini启动 启动位置(file.exe为要启动的文件名称): [windows] load=file.exe run=file.exe 2.System.ini启动 启动位置(file.exe为要启动的文件名称): 默认为: [boot]
Shell=Explorer.exe 可启动文件后为: [boot]
Shell=Explorer.exe file.exe 上述的两种启动方式往往会被木马或一些恶作剧程序(如,妖之吻)利用而导致系统的不正常。由于一般用户很少会关心这两个文件,甚至有的用户根本不知道这些文件是做什么用的,所以隐蔽性很好。但用户可以使用msconfig命令,在打开的“系统配置”对话框中的“启动”标签中查看得到。 注意:与Win.ini文件不同的是,System.ini的启动只能启动一个指定文件,不要把Shell=Explorer.exe file.exe换为Shell=file.exe,这样会使Windows瘫痪! 3.Wininit.ini启动 Wininit.ini文件也许很多人不知道,一般的操作中用户也很少能直接和这个文件接触。但如果你编写过卸载程序的话,也许你会知道这个文件。 Wininit即为Windows Setup Initialization Utility。翻译成中文就是Windows安装初始化工具。这么说也许不明白,但如果看到如下提示信息: Please wait while Setup updates your configuration files. This may take a few minutes… 大家也许就都知道了!这个就是Wininit.ini在起作用! 由于在Windows下,许多的可执行文件和驱动文件是被执行到内存中都是受到系统保护的。所以在Windows的正常状态下更改这些文件就成了问题,因此出现了Wininit.ini这个文件来帮助系统做这件事情。它会在系统装载Windows之前让系统执行一些命令,包括复制、删除、重命名等,以完成更新文件的目的。但在一般情况下我们在C:\Windows目录下是找不到这个文件的,原因就是Wininit.ini在每次被系统执行完它其中的命令时就会被系统自动删除,直到再次出现新的Wininit.ini文件之后再被删除。其文件格式为: [rename] file1=file2 上面的语句行中,file1=file2的意思是把file2文件复制为文件名为file1的文件,相当于覆盖file1文件,之后再把原来的file2文件删除。 这样启动时,Windows就实现了用file2更新file1的目的;如果file1不存在,实际结果是将file2复制并改名为file1;如果要删除文件,则可使用如下命令: [rename] nul=file2 这也就是说把file2变为空,即删除的意思。