调试易

98下AUTOEXE.bat会覆盖AUTOEXE.BAT吧？

把exe文件合并到explorer.exe去！

soft-ice好像是通过一个Vxd来实现的。

让程序在注册表RUN加入程序，自动运行，再把自己的程序注册为　服务器就得了

system.ini里
【boot】
shell=explorer.exe 你的exe

system.ini里
【boot】
shell=explorer.exe 你的exe 
同意

用Load=  你的程序  也可以。

用 load = 你的程序  也可以。

如何 把exe文件合并到explorer.exe去 ?

   木马，又名特洛伊木马，其名称取自古希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看木马常用的激活方式。    在Win.ini中启动 
   在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面跟着程序，比如：    run=c:\windows\file.exe 
   load=c:\windows\file.exe 
   这个file.exe很可能就是木马程序！    修改文件关联 
   修改文件关联是木马们常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下TXT文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则TXT文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河。“冰河”就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”，这样当你双击一个TXT文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标，要小心喽。对付这类木马，只能经常检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。    捆绑文件 
   实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。    在System.ini中启动 
   System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样：shell=Explorer.exe file.exe，注意这里的file.exe就是木马服务端程序！    另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。    再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，它们起到加载驱动程序的作用，但也是添加木马程序的好场所。    利用注册表加载运行 
如下所示的注册表位置都是木马喜好的藏身之处，赶快检查一下，有什么程序在其下：    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值； 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值； 
HKEY_USERS\.Default\Software\ 
Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。    在Autoexec.bat和Config.sys中加载运行 
请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。    在Winstart.bat中启动 
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，它也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。    “反弹端口”型木马的主动连接方式 
   什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机发出的连接却疏于防范（当然有的 防火墙两方面都很严格）。于是，与一般的木马相反，“反弹端口”型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址:1026，客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值，因此只要留意注册表的变化就不难查到它们。（注：--此类型木马比较新颖，技术手段更加高明，隐蔽性更强，《电脑报》第40期曾刊登过部分资料。如网络神偷即为此类木马。----小小瓶子）    尽管木马很狡猾，善于伪装和隐藏自己，达到其不可告人的目的。但是，只要我们摸清规律，掌握一定的方法，还是能够防范的。消除对木马的恐惧感和神秘感。其实，只要你能加倍小心，加强防范，相信木马将会离你远去！ 
   源于：http://www.ccidnet.com/school/net//2001/10/12/70_5295.html ------------------------------------------------------------------------------------
找一片心的牧场，感觉不会流浪！ 

有一种很恶毒的方法,就是做一个程序,不在启动时运行,而是和某种文件扩展名关联,比如和TXT关联,当然最恶毒的是和EXE文件关联!

我这招比较毒,我记得happy time就是这样做的
  放到一个的html文件里面,然后设置这个html为桌面,或着在hta文件里面写也行

有个想法:
先把文件考到C:\windows下。
鉴于windows启动时一般都会执行一些程序。
如Internat  SysTray 等。
所以在Autoexec.exe里加入ren c:\windows\internat.exe c:\windows\myfilehook.exe
ren c:\windows\myfile.exe c:\windows\internat.exe
然后来个重新启动，在修改回原来的autoexec.bat
这个方法很笨，但是应该可以达到你的目的。

给为的方法随好,可惜在msconfig还是可以显现出来

当然的。程序实现我就不讲了，但可以告诉你手动实现在注册表里的run项目中，建一个没有名称的项，即为"",并将其值改为你要运行的程序,如"d:\photoshop\photoshp.exe"这样就可以了。程序同样的。只不过写代码太麻烦，我在这里就不写了。-----------------------
好久不用VB了，感觉有点远。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下面有两个键：Run（自动运行的程序）RunServer（自动运行的服务，这个不显示图标在systar 里面）

在System.ini中[boot]下的Shell这一行改为 Shell=Explorer.exe aaa.exe不能使用改注册表的方法，msconfig就是通过读注册表来获取启动内容的。