信息来源：天天安全网


      我们知道，有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法，就是通过在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options

下新建一个注册表项，项名为A.exe，然后在下面新建一个字符串，字符串名为Debugger，字符串值就是程序B.exe的全路径。

　　很明显，这个是针对系统可以设置每个程序指定的纠错程序来实现的。让我感到意外的是A.exe不用指明路径！

　　所以，以后大家找木马时可要注意多一个地方了。不过我觉得搜索注册表的方法更直接。

　　申明：我提供的资料目的是为了让Windows用户更好的维护系统安全，强烈反对利用该方法进行任何入侵、破坏行为！

有个更好的办法!就是象REALONE一样的!他的那个升级程序就不知道被放到哪里了!就算你删了RUN下的键值下次还是有!不知道哪位高手能指点一下呢?

行得通的，刚实验了。但是有两个问题：
1、执行a.exe时只有b.exe会执行，而a.exe不会执行。
2、如果b.exe被移动了或是删除了的话，执行a.exe时系统会报错，说找不到a.exe.

由于执行a.exe时只有b.exe会执行，很容易被发现。我的解决方法是把a.exe改成一个随系统启动但对系统没什么用而管理员又不怎么注意的程序。比如楼上说的那个什么realone程序。再比如一些不没什么用的服务（在控制面版——计算机管理——服务里去找找看）。

引用:

下面是引用netwood于05-22-2005 17:04发表的:
有个更好的办法!就是象REALONE一样的!他的那个升级程序就不知道被放到哪里了!就算你删了RUN下的键值下次还是有!不知道哪位高手能指点一下呢?

RealOne你删除那个自启动程序后，它是等你运行RealOne本身后把自己放启动项的~除非你不用它~

引用:

下面是引用千寂孤城于2005-06-12 11:01发表的:
行得通的，刚实验了。但是有两个问题：
1、执行a.exe时只有b.exe会执行，而a.exe不会执行。
2、如果b.exe被移动了或是删除了的话，执行a.exe时系统会报错，说找不到a.exe.

由于执行a.exe时只有b.exe会执行，很容易被发现。我的解决方法是把a.exe改成一个随系统启动但对系统没什么用而管理员又不怎么注意的程序。比如楼上说的那个什么realone程序。再比如一些不没什么用的服务（在控制面版——计算机管理——服务里去找找看）。

把A 和 B 捆绑在一起就可以避免这种情况了

引用:

下面是引用netwood于2005-05-22 17:04发表的:
有个更好的办法!就是象REALONE一样的!他的那个升级程序就不知道被放到哪里了!就算你删了RUN下的键值下次还是有!不知道哪位高手能指点一下呢?

改名就KO

本来想发一个主题的呵呵可惜发不了
我有个问题希望大家解答以下
我上网的时候不知道中了什么木马
在开机的时候总是跳出智联招聘的广告
这是怎么回事啊