HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

　　木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。

　　三、检测木马的存在

　　知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

　　首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

　 1、查看system.ini文件

　　选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”
，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

　 2、查看win.ini文件

　　选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空
3、查看启动组

　　再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都
屏蔽掉了
4、查看注册表

　　由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：
“HKEY-LOCAL-MACHINESoftware