木马传播完之后，能够随系统启动时自动运行。只有打开端口，木马才能够起到作用，因此木马必须找一个既安全又能在系统启动时自动运行的地方。

木马一般会在以下3个地方驻留，即启动配置文件、启动组、注册表，因为计算机启动的时候需要装载这3个文件。也有捆绑方式、通过超级链接等启动的木马，下面分别进行介绍。

（一）配置文件中启动

1.在Win.ini中。一般情况下，“C：\WINNT\Win.ini”的“windows”字段中启动命令“load=”和“mn=”的后面是空白的，如果后面有程序，如“run=CAWINNT\file.exe load=C：\WINNT\file.exe”，那么这个file.exe很可能是木马。

2.在System.ini中。“C：\WINNT\System.ini”的“boot”字段，正常为“shell=Explorer.exe”，Explorer.exe是启动桌面，如果不是这样，如“shell=Explorer.exe file.exe”，这里的“file.exe”就可能是木马服务器端程序。另外，在System.ini中的“386Enh”字段中，要注意检查“driver=路径\程序名”，这里也有可能被木马所利用。另外，在System.ini中的“mic”“drivers”“drivers32”等3个字段起到加载驱动程序的作用，但也是增添木马程序的好场所。

（二）在启动组中启动

启动组也是木马可以藏身的地方，因为这里可以自动加载运行。在【开始】→【程序】→【附件】→【系统工具】→【系统信息】→【软件环境】→【启动程序】菜单中，查看随系统启动的程序，如图2-91所示。

图2-91　木马在启动程序中的设置

（三）在注册表中启动

1.在注册表的启动项中

通过regedit命令打开注册表编辑器，木马在注册表中的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”（RunOnce、RunOnce-Ex、RunServices），如图2-92所示，另外，还有“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，查看这些键值中有没有不熟悉的文件，一般扩展名为EXE，如netspy.exe或其他可疑的文件名，如果有，可能就是木马。(www.daowen.com)

图2-92　木马在注册表中的设置

2.文件关联

有些木马通过修改文件打开关联来达到加载的目的，当打开一个已修改了打开关联的文件时，木马就开始运作。例如，冰河木马就是利用文本文件（“*.txt”）这个最常见但又最不引人注目的文件格式关联来加载的，当有人打开文本文件时，就会自动加载冰河木马，如图2-93所示。

图2-93　冰河木马在启动程序中的设置

（四）捆绑式启动

通过捆绑工具将木马和可执行程序捆绑成一个程序，执行捆绑后的程序就同时执行了两个程序，木马被激活。如果捆绑到系统文件上，那么每一次Windows启动均会启动木马。例如，PhAse 1.0版本和NetBus 1.53版本就可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。如果捆绑到一般的程序上，启动是不确定的。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。捆绑木马可以由黑客确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马有很强的隐蔽性。

（五）在超链接中启动

有些木马是在网页上放置的恶意代码，使用一些诱人的语句，如免费软件下载，设置成超链接，引诱用户，单击超链接后就自动下载并运行。这就是网页木马。