木馬為了生存會想盡辦法隱藏自己，早期的木馬通常會采用以下方式來實(shí)現(xiàn)自啟動，比方說通過“開始”菜單的“啟動”項(xiàng)來加載自己，通過注冊表的有關(guān)項(xiàng)目來啟動木馬，還有的木馬會注冊為系統(tǒng)服務(wù)來迷惑我們。不過，除此之外木馬還有多種隱藏自己的方法，所以我們絕不能掉以輕心。知己知彼，方能百戰(zhàn)不殆，下面我們就談?wù)勥@些鮮為人知的木馬隱藏方法。

“組策略”中的木馬

    通過“組策略”來加載木馬非常隱蔽，不易為人所發(fā)現(xiàn)。具體方法是：點(diǎn)擊“開始”菜單中的“運(yùn)行”，輸入“Gpedit.msc”并回車，這樣就可以打開“組策略”，在“本地計(jì)算機(jī)策略”中順次點(diǎn)擊“用戶配置→管理模板→系統(tǒng)→登錄”（圖1），然后雙擊“在用戶登錄時(shí)運(yùn)行這些程序”子項(xiàng)，出現(xiàn)如圖所示對話框（圖2），在這里進(jìn)行屬性設(shè)置，選定“設(shè)置”中的“已啟用”，接下來單擊“顯示”按鈕，會彈出“顯示內(nèi)容”窗口（圖3），再單擊“添加”按鈕，出現(xiàn)“添加項(xiàng)目”窗口（圖4），在其中的文本框中輸入要自動運(yùn)行的文件所在的路徑，最后單擊“確定”按鈕，然后重新啟動計(jì)算機(jī)就可以了，系統(tǒng)在登錄時(shí)會自動啟動我們添加的程序。注意：如果自啟動的文件不是位于%Systemroot%目錄中，則必須指定文件的完整路徑。

    如果我們剛才在“組策略”中添加的是木馬，就會誕生一個(gè)“隱形”的木馬！這是因?yàn)樵凇跋到y(tǒng)配置實(shí)用程序”Msconfig中你是無法發(fā)現(xiàn)該木馬的，在大家周知的注冊表項(xiàng)如HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)你也無法找到相應(yīng)的鍵值，所以這種加載木馬的方式還是非常隱蔽的，對普通用戶來說威脅也更大一些。

    難道這種加載木馬的啟動方式就那么無懈可擊嗎？當(dāng)然不是！其實(shí)，通過這種方式添加的自啟動程序依然被記錄在注冊表中，只不過不是在我們所熟悉的那些注冊表項(xiàng)下，而是在在注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項(xiàng)中。所以，如果你懷疑電腦中可能有木馬，卻找不到它躲在哪兒，那就到上述注冊表項(xiàng)目或者組策略選項(xiàng)中看看，也許你會有所發(fā)現(xiàn)！

暗藏殺機(jī)的注冊表項(xiàng)

    利用注冊表項(xiàng)加載木馬一直是木馬的最愛，我們也很熟悉它們的這種手段了，不過有一種新的利用注冊表來隱藏木馬的方法您可能還不知道，具體方法是：點(diǎn)擊“開始”菜單中的“運(yùn)行”，輸入Regedit回車，打開注冊表編輯器。展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Win dowsNT\CurrentVersion\Windows項(xiàng)，新建一個(gè)字符串值，命名為“l(fā)oad”，把它的鍵值改為自啟動程序的路徑即可。注意：要使用文件的短文件名，即“C:\Program Files”應(yīng)該寫為“C:\Progra~1”，且自啟動程序的后面不能帶有任何參數(shù)。另外要提醒大家注意的是，如果改為在注冊表的HKEY_USERS\用戶ID號\Software\Microsoft\Windows NT\CurrentVersion\Windows項(xiàng)加載，則本方法對其他用戶也有效，否則換個(gè)用戶名登陸就不管用了。

    建議大家以后檢查木馬及病毒程序時(shí)也要注意這里，免得被人有機(jī)可乘。另外，這個(gè)方法只對Windows 2000/XP/2003有效，使用Windows 9x的用戶不用擔(dān)心。

利用AutoRun.inf加載木馬

    經(jīng)常使用光盤的朋友都知道，某些光盤放入光驅(qū)后會自動運(yùn)行，這種功能的實(shí)現(xiàn)主要靠兩個(gè)文件，一個(gè)是系統(tǒng)文件之一的Cdvsd.vxd，一是光盤上的AutoRun.inf文件。Cdvsd.vxd會隨時(shí)偵測光驅(qū)中是否有放入光盤的動作，如果有的話，便開始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。

    這個(gè)貌似神奇的功能其實(shí)很簡單，不僅能應(yīng)用于光盤中，同樣也可以應(yīng)用于硬盤中（要注意的是AutoRun.inf必須存放在磁盤根目錄下才能起作用）。讓我們一起看看AutoRun.inf文件的內(nèi)容吧。打開記事本，新建一個(gè)文件，將其命名為AutoRun.inf，在AutoRun.inf中鍵入以下內(nèi)容：

    [AutoRun]

    Icon=C:\Windows\System\Shell32.DLL,21

    Open=C:\Program Files\ACDSee\ACDSee.exe

    解釋一下：一個(gè)標(biāo)準(zhǔn)的AutoRun文件必須以[AutoRun]開頭，第二行Icon=C:\Windows\System\Shell32.DLL,21用來給硬盤或光盤設(shè)定一個(gè)圖標(biāo)。Shell32.DLL是Windows系統(tǒng)文件，里面包含了很多Windows的系統(tǒng)圖標(biāo)。數(shù)字21表示顯示編號為21的圖標(biāo)；第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要運(yùn)行程序的路徑及其文件名。

    如果把Open行換為木馬文件，并將這個(gè)AutoRun.inf文件設(shè)置為隱藏屬性（不易被發(fā)現(xiàn)），則點(diǎn)擊硬盤就會啟動木馬！反過來講，這倒的確是一種很不錯(cuò)的程序自啟動方式。

    為防止遭到這樣的“埋伏”，可以禁止硬盤AutoRun功能。打開注冊表編輯器，展開到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主鍵下，在右側(cè)窗口中找到“NoDriveTypeAutoRun”，就是它決定了是否執(zhí)行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可關(guān)閉硬盤的AutoRun功能，把它的鍵值改為B5,00,00,00則可禁止光盤的AutoRun功能。注意改后要重新啟動計(jì)算機(jī)才能生效。


屏幕保護(hù)也可能成為木馬的幫兇

    Windows的屏幕保護(hù)程序?qū)?yīng)的是.scr文件，在默認(rèn)情況下保存在Windows的安裝目錄下。如果把.scr更名為.exe文件，則該程序仍然可以正常啟動。與此類似，.exe文件更名為.scr文件也照樣可以運(yùn)行！順便提一下，把.exe文件改名為.com、.pif、.bat后，exe文件仍舊可以自由運(yùn)行！這在exe文件關(guān)聯(lián)丟失后非常有用，我們可以把exe文件的擴(kuò)展名改為上述擴(kuò)展名程序就可以運(yùn)行了。

    在屏幕保護(hù)程序中，我們可以設(shè)定它的等待時(shí)間，這個(gè)啟動時(shí)間其實(shí)是可以在注冊表中設(shè)定的： HKEY_USERS\.DEFAULT\Control Panel\desktop，其下的字符串值ScreenSaveTimeOut記錄的就是屏保程序的等待時(shí)間，時(shí)間單位為秒，從60秒開始記錄，如果記錄時(shí)間小于60秒，則自動定為1分鐘。是否選擇了屏幕保護(hù)程序可以在system.ini文件中看出來。在“開始”菜單的“運(yùn)行”中輸入msconfig，找到System標(biāo)簽，找到里面的[boot]小節(jié)，你可以看到有“SCRNSAVE.EXE=”這一行。在它后面是屏保文件的路徑。如果你設(shè)定了屏保程序，這一行前面就會有一個(gè)“√”，反之則沒有“√”。

    由上面的介紹可以產(chǎn)生一個(gè)聯(lián)想：如果把.exe文件重命名為.scr文件（假設(shè)改為trojan.scr），并在SYSTEM.INI中添加“SCANSAVE.EXE=C:\Program files\trojan.scr”，然后修改注冊表中的HKEY_USERS\.DEFAULT\Control Panel\desktop下的字符串值ScreenSaveTimeOut，把其鍵值改為60，則系統(tǒng)只要閑置一分鐘該文件就會被啟動！由此可以看出，如果這種方法被木馬或病毒等惡意程序所利用，后果非常可怕。防范這種攻擊的方法就是禁止使用屏幕保護(hù)功能！


控制面板中的木馬

    控制面版是Windows的基本組件，控制面板中的各個(gè)選項(xiàng)實(shí)際上是以cpl為后綴名的文件單獨(dú)存在的，根據(jù)操作系統(tǒng)的不同這些文件所在的位置也有所不同，Windows 9x/Me下這些cpl文件位于Windows安裝目錄下的System子目錄中，而Windows NT/2000/XP下則位于Windows安裝目錄下的System32子目錄中。這些cpl文件再加上Windows安裝目錄中的control.exe和control.ini文件，就是控制面板的全部組成部分。

    每一個(gè)cpl文件都對應(yīng)“控制面版”中的一個(gè)選項(xiàng)，例如desk.cpl對應(yīng)“桌面屬性”、inetcpl.cpl對應(yīng)“Internet屬性”等等。由于.cpl文件的特殊性，需要使用RunDll32.exe來啟動該文件，換句話說，控制面板中的任何一個(gè)選項(xiàng)都可以通過RunDll32.exe調(diào)用。RunDll32.exe是Windows動態(tài)連接庫(DLL)管理工具，可以用來在命令行下執(zhí)行動態(tài)鏈接庫中的某個(gè)函數(shù)或者功能模塊（DLL是Windows系統(tǒng)的另外一種可執(zhí)行文件，是Dynamic Link Library的縮寫。DLL是Windows的基礎(chǔ)，所有的API函數(shù)都是在DLL中實(shí)現(xiàn)的。它本身并沒有程序邏輯，只是由多個(gè)功能函數(shù)構(gòu)成，不能獨(dú)立運(yùn)行，必須由其它進(jìn)程加載并調(diào)用）。另外Windows安裝文件夾下還有一個(gè)RunDll.exe，也是動態(tài)連接庫理工具。雖然不同版本的Windows都提供RunDll.exe和RunDll32.exe文件，但是在Windows NT/2000/XP下卻只支持32位的RunDll32.exe，只有Windows 9x/Me這種16位和32位混合使用的操作系統(tǒng)才同時(shí)對二者提供支持。

    下面我們看一個(gè)利用RunDll32.exe調(diào)用shell32.dll中的Control_RunDLL，來打開desk.cpl的第一個(gè)屬性頁的例子。點(diǎn)擊“開始”菜單，選擇“運(yùn)行”，輸入：RunDll32 shell32.dll,Control_RunDLL desk.cpl,,0（注意是兩個(gè)逗號），回車后，將打開“顯示 屬性”對話框的“背景”窗口（圖3）！這說明這些.cpl文件是可執(zhí)行的。換個(gè)思路想一想，如果用戶把一個(gè)可執(zhí)行的類似動態(tài)連接庫DLL的.cpl文件放入System子目錄中，則在控制面板中可以看到其這個(gè)cpl文件的圖標(biāo)，并且是可以執(zhí)行的！這里說的“類似動態(tài)連接庫DLL的.cpl文件”是指這類cpl文件可以像DLL文件那樣被其它進(jìn)程加載并調(diào)用，就像我們剛剛看到的那里例子一樣。

    用RunDll32.exe調(diào)用控制面板程序的格式如下：在“開始”菜單的“運(yùn)行”中或命令行下輸入：RunDll32 shell32.dll,Control_RunDLL *.cpl,,X，其中shell32.dll為被調(diào)用的DLL文件，意思為調(diào)用shell32.dll中的Control_RunDLL來打開desk.cpl文件。而“*.cpl”為你想調(diào)用的cpl文件的路徑和文件名。最后的“X”為對應(yīng)cpl文件的頁數(shù)：從0開始，0為第一頁（如desk.cpl,,0代表“顯示 屬性”的“背景”），1為第二頁（如desk.cpl,,1代表“顯示 屬性”的“屏幕保護(hù)程序”），依此類推。 要注意的是：shell32.dll和Control_RunDLL兩者之間只能以“,”分隔，逗號之后不能有空格，如果這里出錯(cuò)的話，不會得到任何提示。

    根據(jù)上面的原理，就可以自己寫一個(gè)無窗口或隱藏窗口的控制面板程序，將其寫進(jìn)注冊表的啟動項(xiàng)，使之可以自啟動。如果你編寫的控制面板程序是木馬的話，則不僅中木馬者感到不知所然，就連木馬克星等軟件也會不知所措！

    具體步驟就是在注冊表啟動項(xiàng)中加入RunDll32 shell32.dll,Control_RunDll mycpl.cpl。這樣，這個(gè)mycpl.cpl就會隨用戶機(jī)器啟動的時(shí)候被調(diào)用—就象DLL文件被執(zhí)行一樣！注意，mycpl.cpl如果保存在默認(rèn)目錄中，可以不加路徑直接調(diào)用，否則就要加上路徑。控制面板在執(zhí)行的時(shí)候會加載System子目錄中的所有*.cpl文件，所以只要把這個(gè)cpl木馬放在System(Win9x)或System32(Win2K/XP)子目錄中就可以達(dá)到目的。要提醒大家的是，如果mycpl.cpl真是木馬的話，那么別人一定會給它改個(gè)名字，或替換掉系統(tǒng)中那些不常用的cpl文件，使你疏于察覺。

    是不是只有把cpl文件放到System或System32子目錄下才會被加載呢？不是的！如果你的控制面版程序不在Windows目錄，假設(shè)在D:\ok下，而你想讓它在控制面版里顯示。你只要編輯control.ini文件，在[MMCPL]小節(jié)里面加入：mycpl.cpl=D:\ok\mycpl.cpl就可以了。如果不想讓cpl文件顯示在控制面板中該怎么辦呢？依然從control.ini文件入手！打開該文件，在[don't load]小節(jié)中加入：mycpl.cpl=no，那么這個(gè)mycpl.cpl文件就不被加載了。

    如果有人利用這種方式進(jìn)行攻擊，防范方法是經(jīng)常檢查注冊表的啟動項(xiàng)，發(fā)現(xiàn)用RunDll32.exe調(diào)用.cpl文件的就殺無赦，斬立決！將這個(gè)注冊表鍵值立刻刪除，然后按鍵值提供的路徑找到這個(gè)cpl文件把它刪除。


超長目錄中隱藏的木馬

    給我們下木馬的人要想在我們的電腦中隱藏木馬文件，會絞盡腦汁，利用Windows系統(tǒng)建立超長目錄然后在其中隱藏木馬就是手段之一。

    請大家和我一起做一個(gè)實(shí)驗(yàn)。打開“資源管理器”，在任意一個(gè)磁盤(假設(shè)是E盤)下建立一個(gè)目錄，假設(shè)為good，然后進(jìn)入此目錄，在它的下面再建立一個(gè)子目錄，假設(shè)為123，然后在123子目錄下再建立一個(gè)子目錄test，現(xiàn)在test這個(gè)目錄的絕對路徑就是：E:\good\123\test。接下來把你要隱藏的目錄和文件都拷貝test子目錄下。然后點(diǎn)擊“向上”按鈕，來到123子目錄，對著它點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“重命名”，把這個(gè)123子目錄改名為1111……1111，這個(gè)“1111……1111”字串能寫多長就寫多長（一直按著數(shù)字鍵1不松手，直到?jīng)]有反應(yīng)為止），接下來，再點(diǎn)擊“向上”按鈕，來到最外層的good目錄，用同樣的辦法把它也重命名，假設(shè)改名為goodluck123，現(xiàn)在test子目錄的絕對路徑就是E:\goodluck123\1111……1111\test。試試看，看你能否進(jìn)入test子目錄，呵呵，會出現(xiàn)一個(gè)提示：無法訪問此文件夾，路徑太長（圖5）。既然在視窗界面下無法看到里面的內(nèi)容，那么到DOS下試試看能否進(jìn)入此文件夾，還是不行！這樣隱藏在里面的目錄和文件就被巧妙的隱藏起來了！誰能想到里面會有個(gè)test子目錄呢？誰能想到test子目錄下還有文件和文件夾呢？木馬文件就這樣堂而皇之的隱藏起來了！

    關(guān)于絕對路徑的小提示：大家都知道，在我們平時(shí)使用計(jì)算機(jī)時(shí)要找到需要的文件就必須知道文件的位置，而表示文件的位置的方式就是路徑，例如只要看到這個(gè)路徑：c:/apache/cgi-bin/image/photo.jpg我們就知道photo.jpg文件是在c盤的apache目錄下的image子目錄中。類似于這樣完整的描述文件位置的路徑就是絕對路徑。

    為什么會這樣呢？其實(shí)，這只是利用了Windows系統(tǒng)的一個(gè)小Bug，這個(gè)Bug就是Windows目錄的絕對路徑是不能超過254個(gè)字符的，如果你建立的目錄的絕對路徑超過254個(gè)字符的話，系統(tǒng)是絕對看不到的。反過來講，系統(tǒng)也不允許你直接建立一個(gè)超過絕對路徑長度超過254個(gè)字符的目錄，而我們前面所做的就是迂回建立了一個(gè)目錄，其絕對路徑超過了254個(gè)字符，所以別人就無法訪問其里面包含的子目錄和文件了，這樣變相地把目錄和文件隱藏了起來！更妙的是整個(gè)目錄根本無法直接刪除，不信試試看，會彈出一個(gè)窗口，提示我們：無法刪除*.*:找不到文件，請確定指定的文件名是否正確。換到DOS下試試也無法刪除該目錄，再試試工具軟件Windows Commander等同樣無法刪除該目錄！哈哈，沒想到還多了一層保護(hù)哦。當(dāng)然，如果你真的想刪除該目錄的話，我們也有辦法，繼續(xù)往下看就知道怎么辦了。

    讓我們再用其他軟件來檢驗(yàn)一下利用這種方法隱藏木馬的效果如何。大家知道，一般的隱藏文件或目錄的方法，如特殊空格法、給文件夾設(shè)定空白圖標(biāo)法、修改注冊表隱藏目錄法等，都會在文件管理軟件Windows Commander、看圖軟件ACDSee或壓縮軟件WinZIP或WinRAR中顯露原形！而用本方法隱藏的目錄不會被顯示在上述軟件中，它們只能看到受保護(hù)文件夾的上一層目錄，而無法看到里面隱藏的內(nèi)容！以ACDSee為例，打開ACDSee，可以看到它的界面與資源管理器很相似。左上窗口有Windows樹型目錄結(jié)構(gòu)，右邊主窗口能顯示文件夾中的文件，包括具有“隱藏”屬性的文件。找到我們隱藏目錄和文件的那個(gè)E盤，看，根本無法看到goodluck123文件夾里面的test目錄（圖6）！同理，使用殺毒軟件也無法掃描該文件夾的內(nèi)容，而且在資源管理器中是無法刪除該目錄的，所以說這種方法對木馬來說是一種非常好的保護(hù)方法！

    為了更好的隱藏木馬文件，對方還會在此方法的基礎(chǔ)上略微變通一下，這樣隱藏效果就會更好！首先，對方會進(jìn)入C:\recycled(即回收站)目錄下，用文中剛開始提到的方法建立超長目錄，并把要隱藏的木馬文件移動到其中，選定這些文件后按右鍵在彈出菜單中選擇“屬性”，將其屬性設(shè)置為“隱藏”，這樣在Windows就看不到這些文件了，并且清空回收站也依然還存在！是不是非得利用回收站才可以呢？當(dāng)然不是！只要是特殊文件夾就可以起到和回收站同樣的功效，如c:\windows\fonts等，所以你也可以把秘密文件和目錄放到系統(tǒng)字體目錄下。

    接下來修改一下注冊表，讓文件更徹底地隱藏起來。在“開始”菜單的“運(yùn)行”中輸入Regedit，打開注冊表編輯器，展開到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，修改DWORD值CheckedValue的鍵值為0（默認(rèn)為1，如果沒有該DWORD值可以新建），如圖所示（圖7），關(guān)閉注冊表編輯器，按F5鍵刷新桌面。現(xiàn)在這些文件隱藏得就更深了，不信你可以看看，看能否看到它們：進(jìn)入“我的電腦”中，點(diǎn)擊“工具”→“文件夾選項(xiàng)”→“查看”→“顯示所有文件和文件夾”（圖8），本來這樣可以查看所有隱藏的文件，但進(jìn)入隱藏文件的那個(gè)回收站后，什么也沒有發(fā)現(xiàn)！

    利用這種方法隱藏目錄和文件，非常巧妙，原因有三：一是別人想不到回收站中藏有秘密；二是修改注冊表后這些隱藏起來的文件和目錄更隱蔽了，在Windows下根本發(fā)現(xiàn)不了！三是即便發(fā)現(xiàn)了這些隱藏的目錄和文件，也會由于絕對路徑太長而無法進(jìn)入該目錄查看文件！有此三重保護(hù)，木馬文件在我們電腦中就會“安居樂業(yè)”了，所以我們更要小心了！

    對方要在我們的電腦中建立如此特殊的目錄，必定要遠(yuǎn)程操作才可以，所以只要平時(shí)能及時(shí)給系統(tǒng)打補(bǔ)丁，把系統(tǒng)漏洞都堵上，再安裝上網(wǎng)絡(luò)防火墻，不隨意瀏覽不了解的網(wǎng)頁，不隨意查看陌生的電子郵件，對普通用戶來說就會安全多了。如果發(fā)現(xiàn)系統(tǒng)中有這樣特殊的文件夾存在，只要給最外層的目錄改名，比方說將goodluck123改名為g，然后就可以進(jìn)入下一級目錄，進(jìn)而可以進(jìn)入test子目錄！當(dāng)然，你也可以自己編寫一個(gè)程序，來讀這個(gè)目錄。既然可以進(jìn)入該目錄了，說明所有的限制都自動取消了，這樣就可以刪除該目錄及其中的文件了。

木馬對文件關(guān)聯(lián)的利用

    在注冊表HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\Run下可以加載程序，使之開機(jī)則自動運(yùn)行，類似“Run”這樣的子鍵在注冊表中還有幾處，均以“Run”開頭，如RunOnce、RunServices等。其實(shí)，除了這幾種方法，還有一種修改注冊表的方法可以使程序自啟動。具體說來就是更改文件的打開方式，這樣就可以使程序跟隨你打開的那種文件類型一起啟動！舉個(gè)例子，打開注冊表，展開注冊表到：HKEY_CLASSES_ROOT\exefile\shell\open\command，這里是EXE文件的打開方式，默認(rèn)鍵值為："%1\" %*。如果把默認(rèn)鍵值改為：Trojan.exe "%1\" %*，則你每次運(yùn)行EXE文件，這個(gè)Trojan.exe文件就會被執(zhí)行！木馬“灰鴿子”就可以關(guān)聯(lián)EXE文件打開方式，而大名鼎鼎的木馬冰河采用的是與此相似的一招——關(guān)聯(lián)TXT文件！目前這樣的文件關(guān)聯(lián)木馬越來越多，有呈普遍化之趨勢。當(dāng)然，木馬們更改的打開方式不一定只是EXE或TXT文件，其它文件的打開方式也可以這樣修改。

    對此的防范方法就是經(jīng)常檢查注冊表，看文件打開方式是否發(fā)生了變化。如果發(fā)生了變化就將打開方式改回來。最好能經(jīng)常備份注冊表，發(fā)現(xiàn)問題立即用備份文件恢復(fù)注冊表，既方便快捷又安全省事。



木馬對設(shè)備名的利用

    大家知道，在Windows下無法以設(shè)備名來命名文件或文件夾，這些設(shè)備名主要有aux、com1、com2、prn等，但Windows 2000/XP有個(gè)漏洞可以用設(shè)備名來命名文件或文件夾，這樣木馬就可以躲在那里而不會被我們發(fā)現(xiàn)！

    具體方法是：首先，點(diǎn)擊“開始”菜單的“運(yùn)行”，輸入cmd.exe回車進(jìn)入命令提示符窗口，然后輸入md c:\con\\\命令可以建立一個(gè)名為con的目錄！而默認(rèn)請況下Windows是無法建立這類目錄的，正是利用了Windows的漏洞我們才可以建立此目錄。再試試其他設(shè)備名也一樣可以建立，而許多“牧馬人”就是利用這個(gè)方法將木馬隱藏在這類特殊的文件夾中，從而達(dá)到隱藏、保護(hù)木馬文件的目的！

    現(xiàn)在我們可以把文件復(fù)制到這個(gè)特殊的目錄下，當(dāng)然不能直接在Windows中復(fù)制了，必須用特殊的方法，在CMD窗口中輸入如下命令：copy muma.exe \\.\c:\aux\\就可以把木馬文件muma.exe復(fù)制到C盤下的aux文件夾中，然后點(diǎn)擊“開始”菜單中的“運(yùn)行”，在“運(yùn)行”中輸入c:\aux\muam.exe\就會成功啟動該木馬！不過如果你試圖在資源管理器中刪除它，會發(fā)現(xiàn)這根本就是徒勞的。Windows會提示找不到該文件（圖9）！怎么樣，這樣隱藏的木馬不容易被發(fā)現(xiàn)吧？

    由于使用"del c:\aux\\命令可以刪除其中的muma.exe文件，所以為了達(dá)到更好的隱藏和保護(hù)效果，下木馬者會把muma.exe文件也改名，讓我們刪也不好刪！具體方法就是在復(fù)制木馬文件到aux文件夾時(shí)使用如下命令：copy muma.exe \\.\c:\con.exe\，就可以把木馬文件muma.exe復(fù)制到aux目錄中并且改名為con.exe，而con.exe文件是無法用普通方法刪除的！這樣就又多了一層保險(xiǎn)，對我們普通用戶來說就又多了一層危險(xiǎn)。

    可能有的朋友會問：這個(gè)con.exe文件在“開始”菜單的“運(yùn)行”中無法運(yùn)行啊，很簡單，只要在命令行方式下輸入cmd /c \\.\c:\con\，就可以運(yùn)行這個(gè)程序了。在運(yùn)行時(shí)會有一個(gè)cmd窗口一閃而過，下木馬者一般來說會對其進(jìn)行改進(jìn)。

    其實(shí)，對于這種隱藏木馬的方法，一般說來只有能物理接觸你的電腦的人才能做到，相對來說比較麻煩。對于這類特殊的文件夾，在發(fā)現(xiàn)后我們可以采用如下方法來刪除它：首先，用del \\.\c:\con.exe\命令刪除con.exe文件（該文件假設(shè)就是其中的木馬文件名），然后再用rd \\.\c:\aux\命令刪除aux文件夾即可。