第四章 触发式木马
　　
　　 上面我说了一般木马的查杀方法，通过上面的查杀，大多数木马都可以清掉了。（上次忘记写了，重启后，如木马已经不能启动了，接下来当然就是把记下来的木马文件全部删掉了）
　　
　　 接着我来说一说触发式木马，什么叫触发式木马呢？触发式木马是当您进行某一操作时会触发木马的启动机制，使得木马启动，如果你永远不进行这一操作，而木马则永远不会启动。一般的木马都是主动启动并运行的，而安全检查工具与杀毒软件检查的也大多是主动启动式的木马，比如对自启动项进行检查，查的就是开机后自动主动运行的。只对少数的常见的可以触发木马启动的项进行检查，而触发木马启动的地方操作却很多，这就是这种木马很难杀干净的原因。
　　 其表现为，清除后的当时系统很正常，当时检查机器也很干净，但用不了多长时间，木马又死灰复燃，再度出现。
　　 现在我们开始实际动手查杀这些难缠的家伙们！
　　 需要说明的是，这里为了讲起来有条理，清楚易懂，所以是分开来讲的，实际查杀起来，当然是可以一起来做的。（检查进程、启动项时，就可顺手检查下面的这些）
　　
　　 最常见的也是我们首先要检查的当然就是Autorun.inf了，这是个什么东西呢？这是一个配置文件，看名字，翻译过来不就是“自动运行”么，是的，这个正常用途是用于光盘的自动播放，就是将光盘插入光驱后，系统会自动运行Autorun.inf里面指定的程序。
　　 后来被一些人用于了硬盘，当将这个文件放在硬盘分区的根目录下时，在盘符上点右键，会发现默认的操作就是“自动播放”而不是打开。这时，你双击某一盘符时，就不再是打开并浏览文件夹，而是直接运行指定的程序（还需要改注册表的某个地方，因与我们查杀无关就不说了，免得被坏人利用）。
　　 你查杀木马病毒时如果采取的是暴力删除，那么，程序删除后，Autorun.inf这个文件却仍然还在，会出现后遗症，表现为无法双击打开磁盘。（顺便提一句，熊猫烧香采用的就是这种触发方式与自启动项相结合的）
　　 由于，你双击磁盘会触发木马的启动，所以查杀时，要右键单击，再选择“打开”或用“资源管理器”来查看，找到后删除此文件。
　　 通常此文件会以隐藏文件的形式出现，更有些恶毒的会加上“注册表监控并回写”来为文件隐藏护航，你一旦更改系统为“显示所有文件”，它马上会再次改为“不显示隐藏文件”，如何破除这种注册表回写保护，上面的贴子里写过方法了，这里不再重复。
　　
　　 另一种触发方式是修改文件关联，什么叫文件关联呢？文件关联就是某一类型的文件与某一程序的对应关系，要知道，我们的系统中有无数种文件格式，比如：图片文件（以.bmp .jpg .gif等为扩展名）、音乐文件(mp3 mp4等）......当你双击一个图片时，系统会调用看图程序来打开并显示图片，而不是调用播放器来播放图片，系统为什么会知道要调用看图程序而不是调用播放器呢？这就是因为文件关联的存在，在注册表中，图片文件已经与看图程序关联在了一起，相应的，音乐文件与播放器关联在了一起，大多数类型的文件都与某一特定程序有关联。这样，系统才知道，打开什么样的文件需要调用什么程序。
　　 聪明的您已经知道木马是如何利用文件关联来触发了吧？是的，狡猾的木马就是把某一特定类型文件的关联改为了与它自己关联，这时你一旦打开这一类型的文件就会触发木马的启动。由于木马启动后，会由它再调用正常的关联程序，所以，文件仍然会正常打开，而你也就不知道其实你的操作已经将木马启动了起来。
　　 木马会改哪种文件的关联呢？咳，这我哪知道呢，这只有上帝与木马的作者才知道。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点