攻击者在控制Server 2003后，往往会上传一个木马服务端，这个服务端除了注册为系统Server 2003外，有的会添加到系统启动项里随系统启动。因此，对Server 2003的入侵检测启动项也是一个重要的地方。

　　启动项的检查可用的方法主要有以下三个：

　　(1).Msconfig工具。运行该工具，在“启动”选项卡下可以看到随系统启动的程序，只需取消对可疑程序启动的勾选即可。

　　(2).regedit(注册表)工具。运行该工具，定位到如下注册表项下进行检查：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　以上的键值会出现在msconfig的“启动”项中。

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　以上的键值比较隐蔽

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"Shell"="EXPLORER.EXE,*.exe"

　　*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用。

　　(3).专门工具。这样的工具比较多，比如RegRunFirst就不错。运行后点选左边相关的注册表启动项项，就可以看到该项下的启动程序。

　　另外，"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动"也是个比较危险的地方。比如攻击者获得了一WebServer 2003的webshell，没有命令执行权限但具有对该目录的写权限，就可以向该目录上传木马程序等Server 2003重启后木马也就运行了。(图7)