为了更好的隐藏木马文件，对方还会在此方法的基础上略微变通一下，这样隐藏效果就会更好！首先，对方会进入C:\recycled(即回收站)目录下，用文中刚开始提到的方法建立超长目录，并把要隐藏的木马文件移动到其中，选定这些文件后按右键在弹出菜单中选择“属性”，将其属性设置为“隐藏”，这样在Windows就看不到这些文件了，并且清空回收站也依然还存在！是不是非得利用回收站才可以呢？当然不是！只要是特殊文件夹就可以起到和回收站同样的功效，如c:\windows\fonts等，所以你也可以把秘密文件和目录放到系统字体目录下。　

　　接下来修改一下注册表，让文件更彻底地隐藏起来。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

　　CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，修改DWORD值CheckedValue的键值为0（默认为1，如果没有该DWORD值可以新建），如图所示（图7），关闭注册表编辑器，按F5键刷新桌面。现在这些文件隐藏得就更深了，不信你可以看看，看能否看到它们：进入“我的电脑”中，点击“工具”→“文件夹选项”→“查看”→“显示所有文件和文件夹”（图8），本来这样可以查看所有隐藏的文件，但进入隐藏文件的那个回收站后，什么也没有发现！

　　

　　

　　利用这种方法隐藏目录和文件，非常巧妙，原因有三：一是别人想不到回收站中藏有秘密；二是修改注册表后这些隐藏起来的文件和目录更隐蔽了，在Windows下根本发现不了！三是即便发现了这些隐藏的目录和文件，也会由于绝对路径太长而无法进入该目录查看文件！有此三重保护，木马文件在我们电脑中就会“安居乐业”了，所以我们更要小心了！　　

　　对方要在我们的电脑中建立如此特殊的目录，必定要远程操作才可以，所以只要平时能及时给系统打补丁，把系统漏洞都堵上，再安装上网络防火墙，不随意浏览不了解的网页，不随意查看陌生的电子邮件，对普通用户来说就会安全多了。如果发现系统中有这样特殊的文件夹存在，只要给最外层的目录改名，比方说将goodluck123改名为g，然后就可以进入下一级目录，进而可以进入test子目录！当然，你也可以自己编写一个程序，来读这个目录。既然可以进入该目录了，说明所有的限制都自动取消了，这样就可以删除该目录及其中的文件了。
　　
　　木马对文件关联的利用

　　在注册表HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\Run下可以加载程序，使之开机则自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。其实，除了这几种方法，还有一种修改注册表的方法可以使程序自启动。具体说来就是更改文件的打开方式，这样就可以使程序跟随你打开的那种文件类型一起启动！举个例子，打开注册表，展开注册表到：HKEY_CLASSES_ROOT\exefile\shell\open\command，这里是EXE文件的打开方式，默认键值为："%1\" %*。如果把默认键值改为：Trojan.exe "%1\" %*，则你每次运行EXE文件，这个Trojan.exe文件就会被执行！木马“灰鸽子”就可以关联EXE文件打开方式，而大名鼎鼎的木马冰河采用的是与此相似的一招——关联TXT文件！目前这样的文件关联木马越来越多，有呈普遍化之趋势。当然，木马们更改的打开方式不一定只是EXE或TXT文件，其它文件的打开方式也可以这样修改。

　　对此的防范方法就是经常检查注册表，看文件打开方式是否发生了变化。如果发生了变化就将打开方式改回来。最好能经常备份注册表，发现问题立即用备份文件恢复注册表，既方便快捷又安全省事。

　　木马对设备名的利用

　　 大家知道，在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn等，但Windows 2000/XP有个漏洞可以用设备名来命名文件或文件夹，这样木马就可以躲在那里而不会被我们发现！　　

　　具体方法是：首先，点击“开始”菜单的“运行”，输入cmd.exe回车进入命令提示符窗口，然后输入md c:\con\\\命令可以建立一个名为con的目录！而默认请况下Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目录。再试试其他设备名也一样可以建立，而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中，从而达到隐藏、保护木马文件的目的！　

　　现在我们可以把文件复制到这个特殊的目录下，当然不能直接在Windows中复制了，必须用特殊的方法，在CMD窗口中输入如下命令：copy muma.exe \\.\c:\aux\\就可以把木马文件muma.exe复制到C盘下的aux文件夹中，然后点击“开始”菜单中的“运行”，在“运行”中输入c:\aux\muam.exe\就会成功启动该木马！不过如果你试图在资源管理器中删除它，会发现这根本就是徒劳的。Windows会提示找不到该文件（图9）！怎么样，这样隐藏的木马不容易被发现吧？　　

　　 由于使用"del c:\aux\\命令可以删除其中的muma.exe文件，所以为了达到更好的隐藏和保护效果，下木马者会把muma.exe文件也改名，让我们删也不好删！具体方法就是在复制木马文件到aux文件夹时使用如下命令：copy muma.exe \\.\c:\con.exe\，就可以把木马文件muma.exe复制到aux目录中并且改名为con.exe，而con.exe文件是无法用普通方法删除的！这样就又多了一层保险，对我们普通用户来说就又多了一层危险。　　　　

　　可能有的朋友会问：这个con.exe文件在“开始”菜单的“运行”中无法运行啊，很简单，只要在命令行方式下输入cmd /c \\.\c:\con\，就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过，下木马者一般来说会对其进行改进。　　

　　其实，对于这种隐藏木马的方法，一般说来只有能物理接触你的电脑的人才能做到，相对来说比较麻烦。对于这类特殊的文件夹，在发现后我们可以采用如下方法来删除它：首先，用del \\.\c:\con.exe\命令删除con.exe文件（该文件假设就是其中的木马文件名），然后再用rd \\.\c:\aux\命令删除aux文件夹即可。　　

　　

文章页数:[1] [2]