木马除了伪装成服务启动之外，将自身隐藏于注册表中众多的启动项目中，跟随系统自动运行，也是木马最常用的招数。由于注册表中和启动项相关的实在太多，这里不可能逐一介绍。手工在注册表中逐一查询毕竟过于繁琐，其实，使用AutoRuns这款强悍的安全软件，就可以将几乎所有的启动项一网打尽，包括系统登录，网络服务，打印监控，安全认证，网络连接，系统服务，驱动程序，解码组件，引导执行，映像劫持，初始程序，计划任务，动态链接，IE浏览器，资源管理器，登录等十多个和启动项紧密相关的类型（如图1）。在每个类型中包含了相应的启动项目。如果打开“所有项目”面板，可以浏览所有的启动项目。不管木马在注册表启动项中隐藏的有多深，都会在Autoruns面前彻底暴露，选择和木马相关的启动项，在其右键菜单中可以执行删除，定位注册表具体路径，打开目标文件夹，在线查询，管理目标进程（必须安装有Process Explorer这款强悍的进程管理软件）等操作。

图1 使用AutoRuns分析启动项

值得注意的非常规启动位置

当然，对于狡猾的木马来说，绝不会采用在诸如“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”等“显眼”的位置藏身，毕竟这样做太容易暴露。例如对于采用进程插入技术的DLL木马来说，注册表中“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”下 的“ AppInit_DLLs”键值是其很好的藏身地，该位置是很容易被大家忽视的可以用来启动木马的位置。如果DLL木马将对其进行了修改，将自身添加进来，那么不管任何进程，只要其使用到了“User32.dll”动态库，都会被上述键值指向的DLL木马所注入。、因为“User32.dll”是系统自带的很常用的动态库，主要用来提供和程序使用界面，消息控制等相关的功能，几乎被大多数程序使用。当然，只有极少数程序（诸如CMD控制台）是不会使用该动态库的。此外，注册表中的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun”分支也应引起我们的关注，这个组策略中的启动项目紧密相关的。为了避人耳目顺利启动，木马还常会在注册表中的“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支下的“userinit” 和“shell”键值中添加恶意程序，悄无声息的跟随系统启动自动激活。

对于国外的木马来说，通常会利用ActivcX技术来自启动。例如比较有名的Beast木马，会在注册表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Compo nents{4A202188F04D-11CF-64CD-31FFAFEECF20}”分支下的“StubPath”键值中设置木马程序路径，进而实现自启动操作。有些狡猾的木马会采用映像劫持技术绑架特定程序，当用户执行该程序时，运行的却是木马程序。如果采取将注册表中的“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”分支彻底删除的方法，来防御映像劫持的话，就显得过于简单了，因为从编程角度看，木马程序通常会使用RegCreateKeyEx（）和RegSetValueEx（）等函数，来动态的创建或者修改注册表键值数据。

因此，为了有效防御映像劫持，可以采取控制上述注册表路径权限的方法，取消“Administrators”组和“SYSTEM”账户对该分支的写权限，具体的方法比较简单，这里就不赘述了，这样木马就无法凭借映像劫持来启动了。

为启动项和服务安装“监控器”

实际上，现在的安全软件（例如金山卫士，360安全卫士等）都可以对启动项和系统服务进行监控，当发现这些位置有风吹草动的话，就会弹出提示框，让用户决定是否运行相关的操作。如果您想更加彻底的保护启动项和服务，还可以使用Ghost Security Suite这款软件，来执行更加严格的监控操作。

Ghost Security Suite内置的大量安全规则，已经涵盖了所有的启动项和系统服务列入监控范围，无需您的任何干预。当可疑程序试图修改或者创建启动项或者系统服务时，必然涉及对相关注册表项的改动，Ghost Security Suite可以立即对其拦截，在弹出的警告窗口中 的“1.This Application”面板中显示程序名称，在“Whats to perform this action”面板中显示修改动作，在“Key”栏中显示该程序要修改的注册表主键名，在“Value”栏中显示建立的键值名称，在“Value Data”栏中显示该程序所在的路径信息。

根据其提供的详细的信息，您很容易判断其目标程序的真实身份。对于正常的程序，点击“Allow”按钮放行即可。对于非法的程序，最好点击“Block”按钮，拦截其对注册表中服务配置项目的修改。如果在询问窗体左上角的模式列表中选择“Advance Alert”项，在高级询问窗体中可以显示更加细致的内容，除了上述描述信息外，还包括可疑程序程序的原始运行路径、触发规则所监控的注册表路径、规则所属组名等内容。

如果确认是可疑程序，还可以直接点击“Kill Process”或者“Kill Thread”按钮杀死对应进程或线程。这样木马还没有来及对启动项或者服务下手，就会被Ghost Security Suite彻底清除。