黑客常用兵器之木马篇

“原来如此。”

“前辈，木马冰河是否也做了这些手脚？”

“这是自然，木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先，冰河会在你的注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和RUNSERVICE 键值中加上了kernl32.exe(是系统目录)，

§c:改动前的RUN下

默认=""

§c:改动后的RUN下

默认="C:\WINDOWS\SYSTEM\Kernel32.exe"

§c:改动前RunServices下

默认=""

§c:改动后RunServices下

默认="C:\WINDOWS\SYSTEM\Kernel32.exe"

§c:改动前[　　HKEY_LOCAL_MACHINESoftwareCLASSES　　xtfileshellopencommand]的：

默认="Notepad.exe %1"

§c:改动后[　　HKEY_LOCAL_MACHINESoftwareCLASSES　　xtfileshellopencommand]的：

默认="C:\WINDOWS\SYSTEM\Sysexplr.exe %1"

可以看出之所以冰河可以自我恢复主要靠的是C:\WINDOWS\SYSTEM\Sysexplr.exe，而且冰河服务器端的编制是加密的，没法简单的通过改注册表得到或换掉。另外值得一提的是，即便你删除了这个键值，也并非平安大吉，冰河还会随时出来给你捣乱，主要因为冰河的服务端也会在c:windows目录下生成一个叫 sysexplr.exe文件，当然这个目录会随你windows的安装目录变化而变化。

“这个文件名好像超级解霸啊，冰河竟然如此狠毒。”

“哈哈哈哈，你说的很对，也很聪明，这个文件的确很像超级解霸，但是这还是不够称得上为阴险，最为阴险的是这个文件是与文本文件相关联的，只要你打开文本，sysexplr.exe程序就会重新生成一个krnel32.exe，此时你的电脑还是被冰河控制著。而且如果你失误将sysexplr.exe程序破坏，你计算机的文本文件将无法打开。”