安全知识：撕破木马的隐身衣

　　文/蒲浪

　　前段时间上映《特洛伊》让很多人着实知道了木马的威力。和电影中一样，我们的爱机如果进了木马，也有可能面临“城毁人亡”的危险。今天就教你如何“免费”找出它藏身点，轻松撕破木马的隐身衣。

　　Autoexec.bat和Config.sys

　　先来看看这家伙在不在这里：C:\autoexec.bat与C:\config.sys。这两个文件里通常是一些系统所需的驱动程序，看看有没有加入什么奇怪的东东。如果你发现有可疑的对象，就在它前面加上“REM”，如果你发现冤枉了它，将“REM”去掉即可恢复。

　　Win.ini

　　在“开始→执行”功能中，输入“regedit”命令，分别依次展开这两个键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　睁大眼睛看看这两个登录文件中执行了哪些东东。这里放的是启动Windows后自动执行的程序。木马很可能会出现在这里，如果你有怀疑的对象，就在它前面加上“:”，恢复时去掉“:”就OK了。

　　System.ini

　　这个地方可不能放过，这里一般放的是系统本身和外加的驱动程序，注意外加的驱动程序通常都会用全路径，如，device=c:\abcd\1234.386，如果有怀疑的对象，就在前面加上“:”把它打入“冷宫”，觉着冤枉了它，去掉“:”就可以了。

　　Winstat.bat

　　在Windows目录下，看看有没有一个叫Winstat.bat的文件。它是和autoexe.bat类似的一个自动批处理文件，不过它只能为Windows工作而不能为DOS干活。看看其中有没有什么怪异的驱动程序，一般情况下这个文件是不会被用到的。经过这几步，一般的木马都会现出原形，就等你干掉它们啦。