五）自我销毁这项功能是为了弥补木的一个缺陷。我们知当服务端用打开有木的文件后，木会将自己拷贝到windows的系统文件夹中（c：windows或c：windowssystem目录下），一般来说原木文件和系统文件夹中的木文件的大小是一样的（捆绑文件的木除外），那么中了木的朋友只要在近来收到的信件和下载的件中找到原木文件，然后据原木的大小去系统文件夹找相同大小的文件，判断一下哪个是木就行了。而木的自我销毁功能是指安装完木后，原木文件将自动销毁，这样服务端用就很难找到木的来源，在没有查杀木的工帮助下，就很难删除木了。

2由发式激活木1.注册表：打开文件类型d主键，查看其键值。举个例，国产木“冰河”就是修改hkey_sses_root下的键值，将“c：”该为“1”，这时你双击一个txt文件后，原本应用notepad打开文件的，现在却变成启动木程序了。还要说明的是不光是txt文件，通过修改html，exe，zip等文件的启动命令的键值都可以启动木，不同之只在于“文件类型”这个主键的差别，txt是txtfile，zip是p，大家可以试着去找一下。

「三.运行木」

序上，当安装程序运行时，木在用毫无察觉的情况下，偷偷的了系统。至于被捆绑的文件一般是可执行文件（即exe一类的文件）。

四）定制端很多老式的木端都是固定的，这给判断是否染了木带来了方便，只要查一下特定的端就知染了什么木，所以现在很多新式的木都加了定制端的功能，控制端用可以在1024---65535之间任选一个端作为木端（一般不选1024以下的端），这样就给判断所染木类型带来了麻烦。

三）错显示有一定木知识的人都知，如果打开一个文件，没有任何反应，这很可能就是个木程序，木的设计者也意识到了这个缺陷，所以已经有木提供了一个叫错显示的功能。当服务端用打开木程序时，会弹一个如下图所示的错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用信以为真时，木却悄悄侵了系统。

2.目录下有一个置文件，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木。3.目录下有个置文件，用文本方式打开，在]中有命令行，在其中寻找木的启动命令。

6.启动菜单：在“开始---程序---启动”选项下也可能有木的发条件。

2.

ni：即应用程序的启动置文件，控制端利用这些文件能启动程序的特，将制作好的带有木启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木的目的了。

4.：在c盘目录下的这两个文件也可以启动木。但这加载方式一般都需要控制端用与服务端建立连接后，将已添加木启动命令的同名文件上传到服务端覆盖这两个文件才行。

本章尚未读完,请击下一页继续阅读---->>>

六）木更名安装到系统文件夹中的木的文件名一般是固定的，那么只要据一些查杀木的文章，图索骥在系统文件夹查找特定的文件，就可以断定中了什么木。所以现在有很多木都允许控制端用自由定制安装后的木文件名，这样很难判断所染的木类型了。

服务端用运行木或捆绑木的程序后，木就会自动行安装。首先将自拷贝到windows的系统文件夹中（c：windows或c：windowssystem目录下），然后在注册表，启动组，非启动组中设置好木的发条件，这样木的安装就完成了。安装后就可以启动木了，过程见下文：1由自启动激活木自启动木的条件，大致现在下面6个地方：1.注册表：打开主键，在其中寻找可能是启动木的键值。