为了保护自己，木马会想尽办法来隐藏自己。以往，木马通常会通过“开始”菜单的“启动”项或注册表的HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run项和HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run项来启动自己，也有的木马会注册为系统的“服务”程序，而那些老旧的方法，比如在Autoexec.bat、Config.sys、Winstart.bat、Win.ini、System.ini、Wininit.ini等文件中加载木马程序，大家更是耳熟能详。

不过，随着木马技术的发展，木马的隐藏方法已经变得越来越高明了。所谓“知己知彼，百战不殆”，要想防“马”，当然要先“知”马。下面，笔者就为您介绍一些鲜为人知的木马隐藏方法。

“组策略”中的木马

通过“组策略”来加载木马这种方式非常隐蔽，不易为人发现。具体方法是：

点击“开始”菜单中的“运行”，输入Gpedit.msc，打开“组策略”。在“本地计算机策略”中顺次点击“用户配置”→“管理模板”→“系统”→“登录”，然后双击“在用户登录时运行这些程序”子项，出现对话框，如图1所示。

图 1

在这里进行属性设置，选定“设置”中的“已启用”，单击“显示”按钮，会弹出“显示内容”窗口。单击“添加”按钮，出现“添加项目”窗口，在其中的文本框中输入要自动运行的文件所在的路径，单击“确定”按钮后重新启动计算机，系统便会在登录时自动运行所添加的程序。

提示：如果自启动的文件不是位于%Systemroot%目录中，则必须指定文件的完整、有效路径。

如果我们刚才在“组策略”中添加的是木马，就会出现一个“隐形”的木马。在“系统配置实用程序”Msconfig中，我们是无法发现该木马的，因为在注册表项中，如HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run项和HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run项，根本找不到相应的键值。所以说，这种加载木马的方式是非常隐蔽的，对普通用户的危胁也非常大。

实际上，通过这种方式添加的自启动程序依然会被记录在注册表中，只不过不是在我们所熟悉的那些注册表项下，而是在注册表的HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion PoliciesExplorer Run项中加载。所以，如果您怀疑自己的电脑中有木马，却找不到它躲在哪儿，可以到上述的注册表项中去看一看，或者到“组策略”的“用户配置→管理模板→系统→登录”下的“在用户登录时运行这些程序”中查看一下，也许会有所发现。

暗藏杀机的注册表项

利用注册表项加载木马一直是木马的最爱，也是我们所熟知的一种手段，不过，有一种新的利用注册表来隐藏木马的方法您可能还不知道。具体方法是：

点击“开始”菜单中的“运行”，输入Regedit，打开注册表编辑器。展开注册表到HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Windows项，新建一个字符串值，命名为“load”，把它的键值改为要自启动程序的路径即可。

提示：要使用文件的短文件名，即“C:Program Files”应该写为“C:Progra~1”，且自启动程序的后面不能带有任何参数。如果改在注册表HKEY_USERS用户ID号Software MicrosoftWindows NT CurrentVersion Windows项加载，则本方法对其他用户也有效，否则换个用户名登录就不管用了。

用这种方法加载木马，在Windows优化大师的“开机速度优化”选项中将无法看到有木马程序被加载，如果被有心人利用在这里加载恶意程序或木马，对大家的威胁将很大。

建议大家以后检查木马及病毒程序时特别注意这部分，不给别人可乘之机。另外，这个方法只对Windows 2000/XP/2003有效，使用Windows 9x的用户不用担心。

利用AutoRun.inf加载木马

经常使用光盘的朋友都知道，某些光盘放入光驱后会自动运行，这种功能的实现主要靠两个文件，一个是系统文件之一的Cdvsd.vxd，一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有，便寻找光盘根目录下的AutoRun.inf文件。如果存在，就执行里面的预设程序。

不过，AutoRun不仅能应用于光盘中，同样也可以应用于硬盘中（要注意的是，AutoRun.inf必须存放在磁盘根目录下才能起作用）。让我们一起看看AutoRun.inf文件的内容吧。

打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：

[AutoRun]

Icon=C:\Windows\System\Shell32.DLL,21

Open=C:\Program Files\ACDSee\ACDSee.exe

其中，“[AutoRun]”是必须的固定格式，一个标准的AutoRun文件必须以它开头，目的是告诉系统执行它下面几行的命令；第二行“Icon=C:\Windows\System\Shell32.DLL,21”是给硬盘或光盘设定一个个性化的图标，“Shell32.DLL”是包含很多Windows图标的系统文件，“21”表示显示编号为21的图标，无数字则默认采用文件中的第一个图标；第三行“Open=C:\Program Files\ACDSee\ACDSee.exe”指出要运行程序的路径及其文件名。

如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性，我们点击硬盘时就会启动木马。

为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机，设置就会生效。