下面的文章主要就是對木馬加載方式的描述，其加載方式主要有定位于System.ini與Win.ini文件，隱藏在注冊表中(此方式最為隱蔽)。這兩種，以下的文章就是這兩種方式的破解，以下就是文章的主要內(nèi)容講述。

加載方式：定位于System.ini和Win.ini文件

System.ini(位置C:\windows\)

[boot]項原始值配置：“shell=explorer.exe”，explorer.exe是Windows的核心文件之一，每次系統(tǒng)啟動時，都會自動加載。

[boot]項修改后配置：“shell=explorer C:\windows\xxx.exe”(xxx.exe假設(shè)一木馬程序)。

Win.ini(位置C:\windows\)

[windows]項原始值配置：“load=”；“run=”，一般情況下，等號后無啟動木馬加載項。

[windows]項修改后配置：“load=”和“run=”后跟非系統(tǒng)、應(yīng)用啟動文件，而是一些你不熟悉的文件名。

解決辦法：

執(zhí)行“運(yùn)行→msconfig”命令，將System.ini文件和Win.ini文件中被修改的值改回原值，并將原木馬程序刪除。若不能進(jìn)入系統(tǒng)，則在進(jìn)入系統(tǒng)前按“Shift+F5”進(jìn)入Command Prompt Only方式，分別鍵入命令edit system.ini和edit win.ini進(jìn)行修改。

加載方式：隱藏在注冊表中(此方式最為隱蔽)。

注意以下注冊表項：HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\

原始數(shù)值數(shù)據(jù)："%1"%?

被修改后的數(shù)值數(shù)據(jù)：C:\system\xxx.exe "%1"%?

原注冊表項是運(yùn)行可執(zhí)行文件的格式，被修改后就變?yōu)槊看芜\(yùn)行可執(zhí)行文件時都會先運(yùn)行C:\system\xxx.exe這個程序。

例如：開機(jī)后運(yùn)行QQ主程序時，該xxx.exe(木馬程序)就先被木馬加載了。

解決辦法：

當(dāng)通過防火墻得知某端口被監(jiān)聽，立即下線，檢查注冊表及系統(tǒng)文件是否被修改，找到木馬程序，將其刪除。

所謂“病從口入”感染源還是在于木馬加載了木馬程序的服務(wù)器端。目前，偽裝可執(zhí)行文件圖標(biāo)的方法很多，如：修改擴(kuò)展名，將文件圖標(biāo)改為文件夾的圖標(biāo)等，并隱藏擴(kuò)展名，因此接收郵件和下載軟件時一定要小心。許多木馬程序的文件名很像系統(tǒng)文件名，造成用戶對其沒有把握，不敢隨意刪除，因此要不斷增長自己的知識才可防備萬一。

可以借助一些軟件來狙擊木馬，如：The Cleaner、Trojan Remover等。建議經(jīng)常去微軟網(wǎng)站下載補(bǔ)丁包來修補(bǔ)系統(tǒng)；及時升級病毒庫。