1. 在Win.ini中啟動

在Win.ini的[windows]字段中有啟動命令"load＝"和"run＝"， 在一般情況下 "＝"后面是空白的， 如果有后跟程序， 比方說是這個樣子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了， 這個file.exe很可能是木馬哦。

2.在System.ini中啟動

System.ini位于Windows的安裝目錄下， 其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏加載之所， 木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。 注意這里的file.exe就是木馬服務端程序!

另外， 在System.中的[386Enh]字段， 要注意檢查在此段內的"driver＝路徑\程序名"這里也有可能被木馬所利用。 再有， 在System.ini中的[mic]、[drivers]、[drivers32]這3個字段， 這些段也是起到加載驅動程序的作用， 但也是增添木馬程序的好場所， 現在你該知道也要注意這里嘍。

3.利用注冊表加載運行

如下所示注冊表位置都是木馬喜好的藏身加載之所， 趕快檢查一下， 有什么程序在其下。

4.在Autoexec.bat和Config.sys中加載運行

請大家注意， 在C盤根目錄下的這兩個文件也可以啟動木馬。 但這種加載方式一般都需要控制端用戶與服務端建立連接后， 將己添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行， 而且采用這種方式不是很隱蔽。 容易被發現， 所以在Autoexec.bat和Confings中加載木馬程序的并不多見， 但也不能因此而掉以輕心。

5.在Winstart.bat中啟動

Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件， 也是一個能自動被Windows加載運行的文件。 它多數情況下為應用程序及Windows自動生成， 在執行了Windows自動生成， 在執行了Win.com并加截了多數驅動程序之后

開始執行 (這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。 由于Autoexec.bat的功能可以由Witart.bat代替完成， 因此木馬完全可以像在Autoexec.bat中那樣被加載運行， 危險由此而來。