人手剷除

之前說過，木馬均有一個共通點，就是必需要先執行才能運作，這樣的設計正是其致命傷！ 我們只需找出那些會在啟動時自動啟動的程式，便可得知自己是否已遭入侵。

在Windows95/98啟動時，會讀取一些設定檔案，第一個會存放啟動就會執行的命令的檔案是win.ini。用notepad打開，留意load=及run=的部份是否有些奇怪的檔案在後方。正常情況下該處空白的。有的話，先記低再將之移除。

之後再看另一個木馬程式最常藏匿的地方－－登錄檔 在「開始」－「執行」中打入 regedit 開啟登入編輯器 我們可以在下列的地方看到其他在啟動時就執行的程式(如下圖)：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

小心查看這些地方看，便可清楚找出木馬的所在位置了。且慢！看不明白這些登錄嗎？不要緊，因為上面所說的是以「手動」的方法進行找尋，看不懂、不明白絕對不成問題，因為之後會說怎樣用「自動」的方法檢查。

假手於人

如果你看不懂以上的複雜的指令，難道就要乖乖地任人魚肉?其實市面上有不少防毒軟件都可以幫助你扺擋木馬程式。

上一頁 　　　　　　　　　　　　　　　　　　　　　回理論課程主頁