如何从注册表启动中分析木马病毒

　　我们都知道很多病毒是通过网络传播的，不过这些病毒在你的电脑中是如何运行启动的呢?这个大家应该比较少研究过吧?其实呢，木马病毒启动的模式比较多，常见的办法是通过绑定程序来启动，如游戏，QQ聊天工具伴随着这些程序的启动而启动的;还有是随着系统启动项来启动的。不过小虫系统小编今天要说的是注册表中启动的病毒分析，通过以下注册表启动隐秘性高，所以大家通过本文可以检查下自己的电脑是否有此类病毒。
 

　　通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　这是很多Windows程序都采用的方法，也是木马最常用的。使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表中的主键，通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe，以下简称 regedit)都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除(手工删除后，木马程序又自动添加上了)，相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢?其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。

　　破解方法:首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了;然后，你就可以删除注册表中的键值和相应的木马程序了。
 

　　通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce，

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　这种方法好像用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在 Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢?

　　其实很简单，不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。