发现木马的依据（二）

　　2.查看系统服务

　　许多木马进程在自身启动工作状态以后，还会在后台悄悄开启部分系统服务来达到“信息监听”的目的，所以用户通过经常查看和关闭部分不必要的系统服务，也可以发现和防范木马：用户在系统的“运行”框中输入“msconfig”命令，随后将打开的“系统配置实用程序”切换到“服务”面板，而那里通过查看是否存在有陌生的系统服务来快速发现木马(如图3)。不过这种方法同样对用户的相关专业水平和经验要求较高，并且用户即便发现了陌生的系统服务，可能也无法知道对应木马的藏身之处。

图3

　　3.查看注册表中的“启动”键值

　　用户可以打开Windows的注册表，在其“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion”和“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”下所有以“run”开头的键值中去寻找可疑的和一些陌生的键值(如图4)。不过这种方法的缺点与上面两个基本相同，都需要用户有较高的相关认知能力。　

    另外，用户通过对系统Win.ini文件、System.ini文件、Autoexec.bat文件和Config.sys文件中相关语句的查看也可以发现和防范木马，比如在Win.ini文件中，在正常情况下其[Windows]字段中启动命令“load=”和“run=”等号后面应该是空白的，如果等号后面跟有“*.exe”字样，则可能就是木马程序。但是这种方法在操作上就显得过于繁琐了。

图4