也许大家还不明白为什么沙盘程序可以保护我们的计算机，我来和大家简单介绍一下沙盘工作的原理：

任何一个电脑程序运行的时候都要做下面3个步骤：1.从硬盘获取数据 2.程序经过一系列操作 3.将数据写回硬盘

沙盘程序就是在电脑程序和硬盘中间加层类似沙盘的东东，具体看图比较好理解

用了沙盘前步是正常的，最后一步数据并没有写到硬盘上而是写到了沙盘上，到时清空沙盘一切就搞定了~

原理大概明白了，我们就开始动手：

1.安装Sandboxie：  单击下载 Sandboxie2.8 中文版

没什么难的，开始选择简体中文，就可以用中文版的了.

下面提供下注册码，嘿嘿~~  用户名：dingood.com  注册码：KW9YAX2

2.装完Sandboxie后在右下角会出现一个黄色的小框子。

3.要想通过Sandboxie来运行网页浏览器很简单，在托盘图标上右击进行如下选择，就可以在沙盘中运行浏览器了(启动的是默认浏览器)。

4.所有在沙盘中运行程序的标题栏前后就会加上  [#]  作为区别。

5.每当我们上完网之后，清空下沙盘就可以了。打开软件界面，进行如下操作就可以了。

6.其实可以在沙盘中运行任意程序，在需要在沙盘中运行的程序上右击，选择 在沙盘中运行。

嘿嘿~男同胞们知道我现在点的是什么程序吗？嘿嘿~~

7.最后清空沙盘，就相当于根本没有运行过程序一样。

简明教程就到此结束了，当然前面我也说了这是最最基本的操作了。希望大家细细品味这个软件的魅力哈~~

收藏、分享这篇文章!

        我记得有一句广告语是这样说的”在什么地方会泄露数据?任何地方”，这说明我们平时在传输文件的时候，安全性大打折扣。电子邮件更是如此，那我们怎么才能保证自己的文件不被第三方人偷窥呢？现在的加密方式主要有2种：1.对称加密技术 2.非对称加密技术。如果你需要很高的保密性，可以选择PGP，我也写了关于这个软件的教程《PGP加密软件教程》。当然，如果对安全性要求不是顶级的，你就可以选择我今天给你推荐的软件—PixelCryptor.
        PixelCryptor是一款可以创建包含一个或者更多文件的加密存档，同时保护其中内容而不需要记忆任何密码的加密软件。用一个图片文件取代密码或钥匙，在用这个软件加密传输文件时，接收者需要拥有PixelCryptor软件安装的拷贝，以及你用于加密该存档的图像的正确副本，为了解锁一个加密的文件，在提示的时候简单地选择正确的图像，才可以成功解密。
单击下载PixelCryptor

下面我们就一起来看一下该软件是如何加密的？(图片看不清，单击放大图片)

加密文件：

1.安装完成PixelCryptor软件，双击图标即可看见软件主界面：

2.单击”加密”，单击”添加文件”，添加你需要加密的文件，然后点击”下一步”：

3.单击中间的”Click here to select an image”按钮，选择图片作为加密的密钥，下一步：

4.单击最右边的文件夹按钮，选择加密后文件的保存位置，然后一路下一步就可以了。

解密文件：其实步骤只是个反过来的过程，我就简单的说几句了。

1.单击”解密”按钮，再单击最上方地址栏最右边的文件夹图标，选择要解密的文件，单击”下一步”：

2.选择解密的图像文件，下一步，再选择解密后文件需要保存的位置，至此~ 一切OK！！

请务必不要修改和丢失昨晚加密密钥的图像文件，不然你的文件就永远也解不开了~

如有什么不明白的地方，欢迎留言提问哈~~

收藏、分享这篇文章!

What？还没有这个软件？赶快去下载个吧：
下载地址：http://www.newhua.com/soft/11308.htm
汉化补丁:http://www.newhua.com/soft/35758.htm

收藏、分享这篇文章!

下面是VB100测试结果的部分截图：(点击小图看大图)

Bitdefender：就是世界第一的那个杀软，也很不错啊，vista没过。而且是我用的哦，确实很不错的呢。

Doctor Web：这个就是很红的Dr.Web，也就是绿蜘蛛。据说是什么军方的。看看结果吧！一个都没过~垃圾的可以了。

卡巴斯基：这次卡巴的表现差强人意啊，windows 2000没过，不应该啊。

麦咖啡和小红伞：表现一般般。

最后让我们来看看进军的2款国产杀毒软件：

金山毒霸：仅仅通过了一项，vista。估计金山论坛又要开始大吹特吹了，再次通过…

瑞星：惨啊！屡战屡败，屡败屡战。一项都没有通过。

最后说明一下VB100，只能表现出杀软的一个方面。并不能通过VB100就断定一个杀软的好于坏~

收藏、分享这篇文章!

        在安装完成Windows后，不要立即把电脑连接网络，因为这时的电脑还没有打上各种补丁，存在各种安全漏洞，非常容易感染病毒和被入侵。此时要打上补丁后并重新启动再联入互联网。刚装的系统我建议大家找点补丁包。

二、安装杀毒软件、防火墙

        安装补丁后后，一定要安装反病毒软件及防火墙，同时将其更新到最新版本。这些软件有助于阻挡病毒的再次来袭。

三、关闭系统还原

        系统还原是Windows XP之后的系统中具有的功能，它允许我们将系统恢复到某一时间状态，从而可以避免我们重新安装操作系统。不过，有的人在执行系统还原后，发现除C盘外，其它的D盘、E盘都恢复到先前的状态了，结果里面保存的文件都没有了，造成了严重的损失!这是由于系统还原默认是针对硬盘上所有分区而言的，这样一旦进行了系统还原操作，那么所有分区的数据都会恢复。

        因此，我们必须按下 Win+Break键，然后单击“系统还原”标签，取消“在所有驱动器上关闭系统还原”选项，然后选中D盘，单击“设置”按钮，在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。依次将其他的盘上的系统还原关闭即可。这样，一旦系统不稳定，可以利用系统还原工具还原C盘上的系统，但同时其他盘上的文件都不会有事。

四、给Administrator设置密码。

        可能有的人使用的是网上下载的万能Ghost版来安装的系统，也可能是使用的是Windows XP无人值守安装光盘安装的系统，利用这些方法安装时极有可能没有让你指定Administrator密码，或者Administrator的密码是默认的123456，更有甚者干脆为空。这样的密码是相当危险的.

        因此，在安装完系统后，请右击“我的电脑”，选择“管理”，再选择左侧的“计算机管理（本地）→系统工具→本地用户和组→用户”，选中右侧窗口中的Administrator，右击，选择“设置密码”。在打开窗口中单击“继续”按钮，即可在打开窗口中为 Administrator设置密码。另外，选择“新用户”，设置好用户名和密码，再双击新建用户，单击“隶属于”标签，将其中所有组（如果有）都选中，单击下方的“删除”按钮。再单击 “添加”按钮，然后再在打开窗口中单击“高级”按钮，接着单击“立即查找”按钮，找到PowerUser或User组，单击“确定”两次，将此用户添加 PowerUser或User组。注销当前用户，再以新用户登录可以发现系统快很多。

五、关闭默认共享

        Windows安装后，会创建一些隐藏共享，主要用于管理员远程登录时管理系统时使用，但对于个人用户来说，这个很少用到，也不是很安全。所以，我们有必要要切断这个共享：先在d:下新建一个disshare.bat文件，在其中写上如下语句：

@echo off

net share C$/del

net share d$/del

netshare ipc$/del

net share admin$ /del

        接下来将d:＼disshare.bat拷贝到 C:＼WINDOWS＼System32＼GroupPolicy＼User＼Scripts＼Logon文文件夹下。然后选择”开始”菜单中”运行”，然后输入 gpedit.msc，在打开窗口中依次展开“用户配置→Windows设置→脚本（登录/注销）”文件夹，在右侧窗格中双击“登录”项，在弹出的窗口中，单击“添加”命令，选中C:＼WINDOWS＼System32＼GroupPolicy＼User＼Scripts＼Logon文件夹下的 disshare.bat文件。完成上述设置后，重新启动系统，就能自动切断Windows XP的默认共享通道了，如果你有更多硬盘，请在netshare d$/del下自行添加，如netshare e$/del、net share f$/del等。

收藏、分享这篇文章!

选择开始保护，会弹出设置缓存的对话框，一般保持默认点OK~

yes:立即保护
no:等重启后保护

最后解释下Tool->setting的相关设置。

此时您就可以对您保护的驱动器为所欲为了，等感觉差不多的时候就选择 停止保护，软件会让你确认是否立即重启，等重启过后再看看。和保护前的状态一摸一样，是不是很酷啊还不赶快试试看。这个软件只是个beta版本，希望以后的功能可以更加的强大啊~哈哈~

下面给出该软件的下载地址：
32位系统
————
http://download.comodo.com/cds/download/setups/beta/DiskShield_Setup_1.0.0.7_XP_VISTA_32x_BETA.msi
Size: 1.97 MB (2,068,480 bytes)
MD5: a33718acae06f5f3ce76d16cf0f2947d

64位系统
————-
http://download.comodo.com/cds/download/setups/beta/DiskShield_Setup_1.0.0.7_XP_VISTA_64x_BETA.msi
MD5: 30c83d7c0e5803a2a2df4ac1c799b524

收藏、分享这篇文章!

　　“安全模式”还原

　　如果计算机不能正常启动，可以使用“安全模式”或者其它启动选项来启动计算机，在电脑启动时按下F8键，在启动模式菜单中选择安全模式，然后按下面方法进行系统还原：

　　点击“开始”→“所有程序”→“附件”→“系统工具” →“系统还原”，打开系统还原向导，然后选择“恢复我的计算机到一个较早的时间”选项，点击“下一步”按钮，在日历上点击黑体字显示的日期选择系统还原点(图3)，点击“下一步”按钮即可进行系统还原。

　　查杀病毒

　　现在病毒一天比一天多，杀毒软件也天天更新。但是，在Windows下杀毒我们未免有些不放心，因为它们极有可能会交叉感染。而一些杀毒程序又无法在DOS下运行，这时候我们当然也可以把系统启动至安全模式，使Windows只加载最基本的驱动程序，这样杀起病毒来就更彻底、更干净了。

　　解除组策略锁定

　　其实Windows中组策略限制是通过加载注册表特定键值来实现的，而在安全模式下并不会加载这个限制。重启开机后按住F8键，在打开的多重启动菜单窗口，选择“带命令提示符的安全模式”。进入桌面后，在启动的命令提示符下输入“C:\Windows\System32\XXX.exe(你启动的程序)”，启动控制台，再按照如上操作即可解除限制，最后重启正常登录系统即可解锁。

　　注：组策略的很多限制在安全模式下都无法生效，如果碰到无法解除的限制，不妨进入下寻找解决办法。

　　修复系统故障

　　如果Windows运行起来不太稳定或者无法正常启动，这时候先不要忙着重装系统，试着重新启动计算机并切换到安全模式启动，之后再重新启动计算机，系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障，此方法非常有效，因为Windows在安全模式下启动时可以自动修复注册表问题，在安全模式下启动Windows成功后，一般就可以在正常模式(Normal)下启动了。

　　恢复系统设置

　　如果用户是在安装了新的软件或者更改了某些设置后，导致系统无法正常启动，也需要进入安全模式下解决，如果是安装了新软件引起的，请在安全模式中卸载该软件，如果是更改了某些设置，比如显示分辨率设置超出显示器显示范围，导致了黑屏，那么进入安全模式后就可以改变回来，还有把带有密码的屏幕保护程序放在“启动”菜单中，忘记密码后，导致无法正常操作该计算机，也可以进入安全模式更改。

　　揪出恶意的自启动程序或服务

　　如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说

明是某些自启动程序或服务影响了网络的正常连接。

　　检测不兼容的硬件

　　XP由于采用了数字签名式的驱动程序模式，对各种硬件的检测也比以往严格，所以一些设备可能在正常状态下不能驱动使用。例如一些早期的CABLE MODEM，如果你发现在正常模式下XP不能识别硬件，可以在启动的时候按F8，然后选进入安全模式，在安全模式里检测新硬件，就有可能正确地为CABLE MODEM加载驱动了。

　　卸载不正确的驱动程序

　　一般的驱动程序，如果不适用你的硬件，可以通过XP的驱动还原来卸载。但是显卡和硬盘IDE驱动，如果装错了，有可能一进入GUI界面就死机;一些主板的ULTRA DMA补丁也是如此，因为Windows是要随时读取内存与磁盘页面文件调整计算机状态的，所以硬盘驱动一有问题马上系统就崩溃。此时怎么办呢?

　　某些情况下，禁用管理员帐户可能造成维护上的困难。例如，在域环境中，当用于建立连接的安全信道由于某种原因失败时，如果没有其他的本地管理员帐户，则必须以安全模式重新启动计算机来修复致使连接状态中断的问题。

　　如果试图重新启用已禁用的管理员帐户，但当前的管理员密码不符合密码要求，则无法重新启用该帐户。这种情况下，该管理员组的可选成员必须通过“本地用户和组”用户界面来设置该管理员帐户的密码。

收藏、分享这篇文章!

一：在浏览器上输入猫的默认地址，如:http://192.168.1.1 ，这个时候就会弹出一个对话框, 一般来说进入ADSL猫时默认帐户 和密码都是root.,或者是admin,或者根本就不需要ID和密码,而问题也就出在这。为什么这么说了？

二：大家应该知道ADSL的原理吧！当我们拨号的时候，电信局就会随机给你分配一个IP地址。而这个IP地址是有规律的，一个地区对应一段IP，像我们这边分配的IP的就是61.*.*.*的形式,我们可以通过IPCONFIG/ALL这个命令来查看自己目前获得的IP。

三：比如说我的ADSL所获的IP为61.138.4.2。那么依此内推，改变该IP的最后一位数字，很可能就是另一位用户正在使用的IP。我们在浏览器中从61.138.4.3一直输入到61.138.4.254。如果弹出了一个ADSL猫的登陆对话框　,这就说明我们已经连上了对方的ADSL猫,然后再尝试着输入几个帐户和密码。怎么样进去了吧！那里面的任一个参数就都可以改动了，一旦我们看谁不爽就可以使对方的猫断掉，而对方可能会认为自己的猫坏了。

今天我就做了一次实验,成功是80%，因为我们的电信局这边好像没有意识到这个问题，而且几乎所有的ADSL猫都没有更改过自己的密码。由于电信安装ADSL时采用的ADSL猫型号就那么几种，而同种型号的ADSL modem的默认密码是相同的，这就极大增加了猜对密码的可能性。

如果只是可以登录你的modem你还不会很在意，但它登录在你的modem上如果更改一下modem的NAT设置就可以进一步访问你在内网的电脑了，这时电脑本身再不做好防护的话那你就危险了。

上面说的大家也行会不相信，但这是我的亲身体会，我的电脑就是这样被黑过一次，那时正在上网，装了防火墙，忽然看到防火墙报警，源地址是192.168.1.1，要连接我电脑的什么端口，我没有注意，继续上网，等下次开机后就再也进不去了，死活进不去，不管是什么状态，总是重起。而且我想重新更改猫的设置也进不去了。每次只好用铅笔头按住后面小原点reset来解决问题。现在想来当时肯定是有人利用外网的IP远程进入了我的猫黑掉了我。也许大家会奇怪，这么大的问题，电信的人不会不知道吧，就这个问题我也问过电信的朋友，其实他们也正在解决这个问题，并且给出了几个应急办法。如果你所在的电信部门还没有意识到这个问题的话。可以这样做：

1.把ADSL设置成禁止公网WEB登陆，只能本地局域网WEB登陆的。

2.更改默认密码。

3.是我想到的，也是最绝的。将ADSL的WEB登陆端口改成其他的端口也是可以的，方法很多我现在最毒的方法就是将80端口做映射到我的电脑里面 ，然后将我的IIS默认页面改成一个带有攻击代码的页面譬如可以做成可以打开对方的光驱代码,一个警告的页面等等，我就用JAVA做了一个，呵呵!

好了，知道了猫被HACK的原理，大家就不用再怕了，如果说你的ADSL猫还没有改密码,还是尽快改一下吧！

收藏、分享这篇文章!

主动攻击方式：
就是攻击者通过各种欺骗，引诱等手段，诱使用户访问放置有网页木马的网站，如果用户不小心访问了该恶意网站，就有可能感染恶意软件。这种攻击方式常见的案例有，攻击者在各种论坛、聊天室、博客留言等用户集中的区域发布各种色情内容的连接、在各种在线游戏的聊天频道中发布各种中奖抽奖信息、使用各种即时通讯软件手动或通过之前被感染的用户自动向联系人发送带欺骗性质的网站链接等。

被动攻击方式：
是指攻击者通过入侵互联网上访问量大的站点，并在其页面中插入网页木马的代码，目前在IDC机房和企业内网中流行的通过ARP欺骗插入恶意网页链接也属于被动攻击方式，这种攻击方式属于广撒网的攻击方式，访问到该网站的用户都有可能感染其所带网页木马种植的恶意软件。

虽然没有具体的统计结果，不过从最近的各安全公司发布的攻击趋势来看，网页木马主动攻击和被动攻击的发起频率差不多。如果用户不慎访问了有可能带有网页木马的网站，如何识别正在发生的网页木马攻击？用户可以根据以下的几个最常见的现象来判断：

系统反应速度：
目前攻击者构建网页木马所使用的IE浏览器漏洞，包括最新的MS07004 VML漏洞，都是利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码的，因此，用户遭受溢出类的网页木马的攻击时，通常系统的反应会变得十分缓慢，CPU占用率很高，浏览器窗口没有响应，也无法使用任务管理器强行关闭。另外，在一些内存小于512M的系统上，溢出类的网页木马攻击时，系统会频繁的对磁盘进行读写操作（物理内存不够用，系统自动扩大虚拟内存）。

进程变化情况：
有少数的IE浏览器漏洞不属于缓冲区溢出的漏洞，比如去年初出现的MS06014 XML漏洞，用户在遭受使用它所构造的网页木马的攻击时，系统反应不会有明显的变化或者磁盘读写，顶多有时会短暂出现系统等待的沙漏图标，不过时间很短，用户一不留意就会错过。这种情况下，用户可以打开任务管理器或使用Process Explorer，查看是否有非用户启动的Iexplore.exe进程、名字比较奇怪的进程等来判断是否遭受了网页木马的攻击。

浏览器显示：
攻击者在使用网页木马的被动攻击方式时，通常会在被其控制的合法网站上使用HTML中的iframe语句或java script方式来调用网页木马，如果用户在打开某个合法网站时，发现IE浏览器左下角的状态栏一直显示一个和当前浏览网站一点关系都没有的地址，同时系统响应变得很慢，或者是鼠标指针变成沙漏形状，便有可能正在遭受网页木马的攻击。

安全软件报警：
安全软件报警也许是对用户来说最安全的一种网页木马攻击迹象，但目前市面上有相当多的反病毒软件检测不出用java script和vbscript 进行过加密的网页木马，因此反病毒软件不报警不一定说明网站就是安全的。

攻击手法花样翻新，网页木马防不胜防，处于技术弱势地位的用户如何进行防御：

1、 系统补丁要及时更新，绝大部分的网页木马受害者都忽略了自己所使用的系统及应用软件的补丁升级。毕竟只有极少数的攻击者会使用昂贵的0day 浏览器漏洞来做网页木马，及时更新系统及软件的安全补丁可以防御大部分的网页木马。

2、 安装并及时更新反病毒软件，用户可尽量选择网页木马查杀能力较强的反病毒软件，并及时更新病毒特征库，这样的话，即使网页木马使用了最新的加密技术躲过反病毒软件的检测，但较新的病毒特征库也能尽可能用户免受紧跟网页木马而来的恶意软件的损害。

3、 使用第三方浏览器，由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE内核的第三方浏览器可以从源头上堵住网页木马的攻击，不过第三方浏览器在页面兼容性上稍逊IE浏览器，而且一些特别的网页，如各种使用ActiveX密码登陆控件的网上银行不能使用第三方浏览器登陆，用户在浏览这类网页时可使用IE浏览器。

4、 养成安全的网站浏览习惯，用户应该养成安全的网站浏览习惯，不要随便点击各种来源不明，说明带有引诱语言的链接，防止落入攻击者的陷阱；遇到合法网站被攻击者攻陷并挂上网页木马，用户也应该报告网站管理员。

以上内容是我从网上搜集的~~希望大家可以从中收益~

收藏、分享这篇文章!

一、通过"开始\程序\启动"

　　隐蔽性：2星
　　应用程度：较低
　　这也是一种很常见的方式，很多正常的程序都用它，大家常用的QQ就是用这种方式实现自启动的，但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”（msconfig.exe，以下简称msconfig）中。事实上，出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意，所以，相信不会有木马用这种启动方式。

二、通过Win.ini文件

　　隐蔽性：3星
　　应用程度：较低
　　同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。在Windows3.2中，Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中。而且，在Windows98安装完成后这两项就会被Windows的程序使用了，也不很适合木马使用。

三、通过注册表启动

　　1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
　　隐蔽性：3.5星
　　应用程度：极高
　　应用案例：BO2000，GOP，NetSpy，IEthief，冰河……
　　这是很多Windows程序都采用的方法，也是木马最常用的。使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表中的主键，通常木马会使用最后一个。使用Windows自带的程序：msconfig或注册表编辑器（regedit.exe，以下简称regedit）都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除（手工删除后，木马程序又自动添加上了），相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢？其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
　　破解方法：首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了；然后，你就可以删除注册表中的键值和相应的木马程序了。
　　2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce，
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
　　隐蔽性：4星
　　应用程度：较低
　　应用案例：Happy99月
　　这种方法好像用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢？
　　其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。
　　还有一种方法，不是在启动的时候加而是在退出Windows的时候加，这要求木马程序本身要截获WIndows的消息，当发现关闭Windows消息时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样用Regedit也找不到它的踪迹了。这种方法也有个缺点，就是一旦Windows异常中止（对于Windows9x这是经常的），木马也就失效了。
　　破解他们的方法也可以用安全模式。
　　另外使用这三个键值并不完全一样，通常木马会选择第一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束会才继续启动Windows。

四、通过Autoexec.bat文件，或winstart.bat，config.sys文件

　　隐蔽性：3.5星
　　应用程度：较低
　　其实这种方法并不适合木马使用，因为该文件会在Windows启动前运行，这时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想象，SoftIce for Win98（功能强大的程序调试工具，被黑客奉为至宝，常用于破解应用程序）也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口，进行调试的，既然如此，谁能保证木马不会这样启动呢？到目前为止，我还没见过这样启动的木马，我想能写这样木马的人一定是高手中的高手了。
　　另外，这两个BAT文件常被用于破坏，它们会在这个文件中加入类似"Deltree C：\*.*"和"Format C：/u"的行，这样，在你启动计算机后还未启动Windows，你的C盘已然空空如也。

五、通过System.ini文件

　　隐蔽性：5星
　　应用程度：一般
　　事实上，System.ini文件并没有给用户可用的启动项目，然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe"，这是Windows的外壳程序，换一个程序就可以彻底改变Windows的面貌（如改为Progman.exe就可以让Win9x变成Windows3.2）。我们可以在"Explorer.exe"后加上木马程序的路径，这样Windows启动后木马也就随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也就可以保证永远随Windows启动了，名噪一时的尼姆达病毒就是用的这种方法。这时，如果木马程序也具有自动检测添加Shell项的功能的话，那简直是天衣无缝的绝配，我想除了使用查看进程的工具中止木马，再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足，因为只有Shell这一项嘛，如果有两个木马都使用这种方式实现自启动，那么后来的木马可能会使前一个无法启动，呵呵以毒攻毒啊。

六、通过某特定程序或文件启动

　　1、寄生于特定程序之中
　　隐蔽性：5星
　　应用程度：一般
　　即木马和正常程序捆绑，有点类似于病毒，程序在运行时，木马程序先获得控制权或另开一个线程以监视用户操作，截取密码等，这类木马编写的难度较大，需要了解PE文件结构和Windows的底层知识（直接使用捆绑程序除外）。
　　2、将特定的程序改名
　　隐蔽性：5星
　　应用程度：常见
　　这种方式常见于针对QQ的木马，例如将QQ的启动文件QQ2000b.exe，改为QQ2000b.ico.exe（Windows默认是不显示扩展名的，因此它会被显示为QQ2000b.ico，而用户会认为它是一个图标），再将木马程序改为QQ2000b.exe，此后，用户运行QQ，实际是运行了QQ木马，再由QQ木马去启动真正的QQ，这种方式实现起来要比上一种简单的多。
　　3、文件关联
　　隐蔽性：5星
　　应用程度：常见
　　通常木马程序会将自己和TXT文件或EXE文件关联，这样当你打开一个文本文件或运行一个程序时，木马也就神不知鬼不觉的启动了。
　　这类通过特定程序或文件启动的木马，发现比较困难，但查杀并不难。一般地，只要删除相应的文件和注册表键值即可.

收藏、分享这篇文章!