前两天在一个E文站点看到一篇关于TROJAN的简单介绍，虽然是属于比较浅显的知识，但是感觉写得还不错，所以翻译其中一小部分给大家共享。

Trojan，这里简称为木马。

多数木马分为两个部分，客户端和服务端，但是很多木马不提供客户端，它们使用通用的telnet作为客户端，或者是它们完全是自动地在做它们要做的事情（比如键盘记录、嗅谈监听等等），完全不需要入侵者更多地干预。可是，那种客户/服务器式的木马则需要入侵者进行交互式xx作。一旦肉鸡在不知情的情况下运行了木马的服务端，入侵者就可以通过某个端口连接到肉鸡，开始使用木马。TCP是最常使用的协议，但是也有一些木马使用ICMP和UDP协议。当木马的服务端在肉鸡上执行以后，它通常是把自己隐藏在计算机上的某个地方，并且在入侵者设定的端口开始监听，等待连接。

为了能够连接肉鸡，必须知道肉鸡的IP，有些肉鸡的IP是动态变化的，比如电话拨号用户或者ADSL虚拟拨号用户。很多木马具有自动发送肉鸡IP到入侵者邮箱的功能，或者是通过ICQ或者IRC来发送。

当肉鸡重新启动的时候，绝大多数木马都有自启动的方法，这些方法包括：使用注册表、使用windows系统文件、使用第三方程序。

1、使用系统文件启动木马

*Autostart Folder
C:\Windows\Start Menu\Programs\startup
这个文件夹是windows启动之后自动运行的文件夹，放在这个下面的任何程序都将自动运行，当机器重新启动的时候。

*Win.ini
如果win.ini中包含下面的，则trojan将自动执行
load=Trojan.exe
run=Trojan.exe

*System.ini
Shell=Explorer.exe trojan.exe
系统启动的时候将自动执行跟在explorer后面的程序

*Wininit.ini
放在该文件下的程序将自动执行，执行完毕后就删除自己，特别适合木马自运行使用

*Winstart.bat
机器启动时的自运行批处理文件
@trojan.exe
使用上面这个语句，木马就自动运行了

*Autoexec.bat
这个是DOS命令行自运行批处理文件，使用
@trojan.exe

*Config.sys
这里也可以自动加载木马

*Explorer Startup
如果存在c:\explorer.exe，则windows将首先执行该程序，而不是通常要执行的c:\Windows\Explorer.exe，这样木马可以把自己改名为explorer.exe，存放在c:\下，这样就执行了它。

2、使用注册表

下面都是木马的藏身之地

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Info"="c:\directory\Trojan.exe" 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
"Info"="c:\directory\Trojan.exe" 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"Info"="c:\directory\Trojan.exe" 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
"Info="c:\directory\Trojan.exe" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"Info"="c:\directory\Trojan.exe" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
"Info"="c:\directory\Trojan.exe"

另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下，这个键值应该是"%1 %*"，如果是这样trojan.exe "%1 %*"，那么就可以自动启动木马了

3、使用第三方程序

*ICQ 网络探测自动执行程序

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

当ICQ探测到机器存在INTERNET连接的时候，防在该键下的所有程序都将自动执行，木马可以放在这里运行。

*ActiveX组件

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents\KeyName] 
StubPath=C:\directory\Trojan.exe