木马隐藏的几个地址分析

木马无处不在，这里我们从几个方面来分析木马。

分析木马隐藏六处地址

1、组策略
　　"开始"-"运行"-gpedit.msc-组策略-本地计算机策略-用户配置-系统-登录-用户登录时运行这些程序在注册表中存在：HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\
explorer un以及和：HKEY_CURRENT_USER\software\microsoft\windows\currentversion un HKEY_CURRENT_USER\software\microsoft\windows NT\currentversion\windows其中要启动的木马一般被写入.cmd和.bat或vbs文件中，然后通过上面的组策略调用.注册表的项目中同样有迷惑性。一般在其下建一字符串值名为load,键值改为要自启动的程序即可（用8.3的格式，不能带参数）

2、AutoRun.inf自动运行(必须放在磁盘的根目录下）
格式如下：
　　[AutoRun]
　　icon=c:\windows\system\shell32.dll,21
　　open=c:\program files\acdsee\acdsee.exe其中icon为显示的图标，shell32.dll为系统自带的图标库，21指库中图标的序号，open为打的程序名其中关闭系统中硬盘或光盘的自动运行为： HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies
\explorer下找到Nodrivetypeautorun当它的值为：9d,00,00,00 关闭硬盘的自动运行 b5,00,00,00 关闭光盘的自动运行

3、屏保方式
　　可将.exe
改为.scr当计算机遇到此文件时会以.exe文件的方式运行。其中HKEY_USERS\DEFAULT\control panel\desktop下的screensavetimeout记录屏保的等待时间，最小从100秒开始。判断是不是启动了屏保可以用msconfig查看，在system.ini中system下的[boot]有SCRNSAVE.EXE=后面跟屏保的文件。禁用屏保为：HKEY_CURRENT_USER\control panel\desktop\screensaveactive将"screensaveactive"改为0,就可以禁用屏保。

4、控制面板
　　控制面板是以.cpl的文件单独存在。加上windows目录中的control.exe和control.ini构成整个面板，通过rundll32.exe调用rundll32 shell32.dll, control_rundll *.cpl,,* 其中shell32.dll为被调用的dll文件，意为调用shell32.dll中的control_rundll来打开desk.cpl文件，"*"表示cpl文件的页数，从0开始（如desk.cpl,,0代表"显示属性"的"背景"，desk.cpl,,1代表显示属性的"屏保"）在注册表中加载：RunDll32 shell32.dll,control_RunDll mycpl.cpl在控制面板中加载：设自已的.cpl目录为d:\ok\mycpl.cpl编辑control.ini在[MMCPL]下加入mycpl.cpl=d:\ok\mycpl.cpl要让图标或是选项不在控制面板中显示可以加入[don't load]下加入 "mycpl.cpl=no"

5、长目录名方法
　　windows最多只能支持255个字符长的目录，可以用下面的方法创建。建后删除不了。
　　1.建一目录，将需要的文件拷入，然后重命名文件夹，使其大于255个字符
　　2.更隐的方法是在c: ecycled中建立，或c:\windows\font下

6、建立设备名
　　md c:\con\\\　　　然后可能将文件拷如copy muma.exe c:\con\\ 使其中的文件运行的方法是 cmd /c c:\con\\muma.exe

文件共享
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion etwork
\lanman\c$　"flags"=dword:00000302 //共享标志"
parmlenc"=hex:00000000 //共享目录的完全共享密码parmlenc"=hex:00000000 //共享目录的只读共享密码path"="c:\\" //共享驱动器的路径名称Remark"="Remark By Fwnl" //共享说明"type"=dword:00000000 //共享类型属性flags参数：
1：只读共享，无密码 flags=0x191
2: 只读共享，有密码 flags=0x101
3: 完全共享，无密码 flags=0x102
4: 完全共享，有密码 flags=0x102
5: 据密码访问（只读）有密码 flags=0x103
6: 据密码访问（完全）有密码 flags=0x103
7: 据密码访问（只读和完全） flags=0x103
8: 完全共享，无密码，不显示共享 flags=0x302