（文章來(lái)源：南華中天）

木馬病毒是比較常見(jiàn)，需要提防的病毒，它的入侵方式也是有好幾種，今天小編就來(lái)講講，木馬病毒常見(jiàn)的入侵方式。

1、在win.ini文件中加載，一般在win.ini文件中的【windwos】段中有如下加載項(xiàng)：run= load= ，一般此兩項(xiàng)為空。如果你發(fā)現(xiàn)系統(tǒng)中的此兩項(xiàng)加載了任何可疑的程序時(shí)，可根據(jù)其提供的源文件路徑和功能進(jìn)一步檢查。這兩項(xiàng)分別是用來(lái)當(dāng)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行和加載程序的，如果木馬程序加載到這兩個(gè)子項(xiàng)中之后，那么系統(tǒng)啟動(dòng)后即可自動(dòng)運(yùn)行或加載了。

2、在System.ini文件中加載，在系統(tǒng)信息文件system.ini中也有一個(gè)啟動(dòng)加載項(xiàng)，那就是在【BOOT】子項(xiàng)中的Shell項(xiàng)。在這里木馬最慣用的伎倆就是把本應(yīng)是“Explorer”變成它自己的程序名，名稱(chēng)偽裝成幾乎與原來(lái)的一樣，只需稍稍改“Explorer”的字母“I”改為數(shù)字“1”，或者把其中的“o”改為數(shù)字“0”，這些改變?nèi)绻蛔屑?xì)留意是很難被人發(fā)現(xiàn)的，這就是我們前面所講的欺騙性。

3、修改注冊(cè)表，在注冊(cè)表中也可以設(shè)置一些啟動(dòng)加載項(xiàng)目的，況且注冊(cè)表中更安全，因?yàn)闀?huì)看注冊(cè)表的人更少。事實(shí)上，只要是“RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce ”等都是木馬程序加載的入口，如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。

4、修改文件打開(kāi)關(guān)聯(lián)，木馬程序發(fā)展到了今天，為了更加隱蔽自己，所采用手段也是越來(lái)越隱蔽，它們開(kāi)始采用修改文件打開(kāi)關(guān)聯(lián)來(lái)達(dá)到加載的目的，當(dāng)打開(kāi)了一個(gè)已修改了打開(kāi)關(guān)聯(lián)的文件時(shí)，木馬也就開(kāi)始了它的運(yùn)作，如冰河木馬就是利用文本文件【.txt】這個(gè)最常見(jiàn)，但又最不引人注目的文件格式關(guān)聯(lián)來(lái)加載，當(dāng)有人打開(kāi)文本文件時(shí)就自動(dòng)加載了冰河木馬。

修改關(guān)聯(lián)的途徑還是選擇了注冊(cè)表的修改，它主要選擇的是文件格式中的【打開(kāi)】、【編輯】、【打印】項(xiàng)目，如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的鍵值不是“c:windows otepad.exe %1”，而是改為“syXXXplr.exe %1”。

以上所介紹的幾種木馬病毒入侵方式，如果發(fā)現(xiàn)需要立即對(duì)其刪除，并要立即與網(wǎng)絡(luò)斷開(kāi)，切斷黑客通訊的途徑，在以上各種途徑中查找，如果是在注冊(cè)表發(fā)現(xiàn)的，則要利用注冊(cè)表的查找功能全部查找一篇，清除所有的木馬隱藏的窩點(diǎn)，做到徹底清除。如果作了注冊(cè)表備份，最好全部刪除注冊(cè)表后再導(dǎo)入原來(lái)的備份注冊(cè)表。

在清除木馬前一定要注意，如果木馬正在運(yùn)行，則無(wú)法刪除其程序，這時(shí)可以重啟動(dòng)到DOS方式然后將其刪除。有的木馬會(huì)自動(dòng)檢查其在注冊(cè)表中的自啟動(dòng)項(xiàng)，如果是在木馬處于活動(dòng)時(shí)刪除該項(xiàng)的話(huà)它能自動(dòng)恢復(fù)，這時(shí)可以重啟到DOS下將其程序刪除后再進(jìn)入將其注冊(cè)表中的自啟動(dòng)項(xiàng)刪除。

以上講的是已發(fā)現(xiàn)的情況下可以采取這些補(bǔ)救措施，但是一般情況下沒(méi)有那么容易發(fā)現(xiàn)它，只好利用專(zhuān)門(mén)的殺毒軟件來(lái)幫助進(jìn)行查殺。目前專(zhuān)門(mén)查殺木馬病毒的反木馬軟件主要有以下幾種，用戶(hù)可以借助它們來(lái)鏟助木馬。目前最常用的反木馬病毒程序有：

1.the cleaner，它可以隨時(shí)自動(dòng)升級(jí)，只要輕點(diǎn)UPDATE按鈕即可，不象LOCKDOWN還要查你的密碼。它的實(shí)時(shí)監(jiān)控程序TCA，可即時(shí)顯示當(dāng)前所有運(yùn)行程序并有詳細(xì)的描述信息。

2.Trojan Remover，它是一個(gè)專(zhuān)門(mén)用來(lái)清除特洛伊木馬和自動(dòng)修復(fù)系統(tǒng)文件的工具，能夠檢查系統(tǒng)登錄文件、掃描WIN.INI、SYSTEM.INI和系統(tǒng)登錄文件，且掃描完成后會(huì)產(chǎn)生Log信息文件，并自動(dòng)清除特洛伊木馬和修復(fù)系統(tǒng)文件。

3.iparmor，0719版本可以查殺5021種國(guó)際木馬，112種電子郵件木馬，保證查殺冰河類(lèi)文件關(guān)聯(lián)木馬，oicq類(lèi)寄生木馬，icmp類(lèi)幽靈木馬，網(wǎng)絡(luò)神偷類(lèi)反彈木馬。內(nèi)置木馬防火墻，任何黑客試圖與本機(jī)建立連接，都需要Iparmor 確認(rèn)，不僅可以查殺木馬，更可以查黑客。