与exe文件建立关联：HKEY_CLASSES_ROOT\exefile\shell\open\command
　　与txt文件建立关联：HKEY_CLASSES_ROOT\txtfile\shell\open\command
　　与dll文件建立关联：HKEY_CLASSES_ROOT\dllfile\shell\open\command

等，当然还可以自己扩充。目前还有一种新方法：在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Windows

下添加如下键值 "AppInit_DLLs"="Server.dll"，这就把Server.dll注册为系统启动时必须加载的模块（你应该把木马编译成DLL）。下次开机时，木马以动态链接库形式被加载，存在于系统进程中。因为没有它自己的PID（Process ID 进程识别号），所以在NT的任务管理器中也看不见（不过在“系统信息”——“软件环境”——“已加载的32位模块”中还是可以详细看到当前内存中加载的每一个模块的），这样做的目的是可以使自己的程序更加隐蔽，提高木马的生存能力。

　　木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件，截图存为jpg文件传回，录音监听成Wav文件，录像成AVI文件，弹光驱，读软驱，关机，重启，不停地挂起，胡乱切换分辨率（烧掉你的显示器），发对话框，不停地打开资源管理器直到死机，杀掉Kernel32.dll进程使机器暴死，交换鼠标左右键，固定鼠标，限制鼠标活动范围，鼠标不听指挥到处乱窜，记录击键记录（记录上网口令，这需要深入了解钩子（Hook）技术，如键盘钩子和鼠标钩子），窃取重要的密码文件如pwl和sam文件，格式化磁盘，乱写磁盘扇区（像病毒大爆发），破坏零磁道，乱写BIOS（像CIH），胡乱设置CMOS，加密MBR、HDPT和FAT（像江民炸弹）……真是琳琅满目、心狠手辣呀！而且实现起来并不是很复杂，只不过后面几项需要比较扎实的汇编功底而已（有几项要用到Vxd技术）。唉！路漫漫其修远兮，吾将上下而求索……

　　如果你想更安全地执行你的入侵活动，就应该像广外女生一样可以杀掉防火墙和杀毒软件的进程。防火墙和杀毒软件监视的是特征码，如果你是新木马，它就不吱一声；但是如果你打开不寻常的端口，它就会跳出来报警。因此最好的办法是启动后立即分析当前进程，查找有没有常见防火墙和杀毒软件的进程，如果有就杀无赦。比如常见的如：Lockdown，天网防火墙，网络卫兵，kv3000，瑞星，金山毒霸，Pc-Cillin，Panda，Mcafee，Norton和CheckPoint。杀掉后，再在特定的内存地址中作一个标记，使它们误以为自己已启动，因此不会再次启动自己了。
　　
　　针对来自反汇编工具的威胁。如果有人试图将你的木马程序反汇编，他成功后，你的一切秘密就暴露在他的面前了，因此，我们要想办法保护自己的作品。首先想到的是条件跳转，条件跳转对于反向工程来说并不有趣。没有循环，只是跳转，作为使偷窃者令人头痛的路障。这样，就没有简单的反向操作可以执行了。陷阱，另一个我不太肯定，但听说有程序使用的方法：用CRC校验你的EXE文件，如果它被改变了，不要显示典型错误信息，而给予偷窃者致命的一击。

　　最后如果你需要它完成任务后可以自己删除自己，我提示你：退出前建立一个批处理文件，加入循环删除本exe文件和本批处理文件自己的命令后保存，执行它，再放心地退出。你可以试一下，所有文件都消失了吧？！这叫“踏雪无痕”。

　　入侵安装了防火墙的机器最好使用自己编写的木马，这样不光防火墙不会报警，而且你自己心里也坦然一些——毕竟是自己的作品吗！如果你是系统管理员，那就请你不要偷懒，不仅要经常扫描1024以下的端口，而且包括1024以上的高端端口也要仔细扫描，65535个端口一个也不能漏。因为许多木马打开的就是高端端口（如本例中的4444）。

　　写在最后：上面例子的用意并不是教你去如何攻击他人，目的只是让你了解木马的工作原理和简单的编写步骤，以便更好地防范和杀除木马，维护我们自己应有的网络安全。因此，请列位看官好自为之，不要乱下杀手啊！

【责任编辑：ROCK】