文章大纲：

• 1、我急需了解下，　一个木马程序是怎么样侵占电脑的，文件夹怎么设置密码最为安全些呢？　　急急
• 2、文件恶意加密病毒怎么防范？
• 3、如何手动隔离木马或病毒（不是删除）
• 4、怎样让木马隐藏的更好？

我急需了解下，　一个木马程序是怎么样侵占电脑的，文件夹怎么设置密码最为安全些呢？　　急急

*** 一：用RAR加密压缩功能 右击文件夹--添加到压缩文件--高级--设置密码，不要忘记密码，否则就很难找回了。

*** 二：还是建议直接下载个加密软件，更简单方便，目前使用最多、评价更好的是隐身侠隐私文件夹加密软件。

简单给你介绍下使用 *** ：

之一步：下载安装隐身侠，并注册账号

第二步：创建保险箱，将需要加密文件放进保险箱，退出软件文件就被加密隐藏了。

第三步：双击隐身侠登陆图标，输入账号密码，即可解密

（隐身侠是一款永久免费的加密软件，冯远征代言，是目前使用最多、评价更好的加密软件，支持所有windows系统。可以加密电脑文件夹、u盘、移动硬盘、各种文件，如：文件夹、视频、程序等，忘记密码可以通过密码找回功能找回）

文件恶意加密病毒怎么防范？

预防木马病毒，应该采取以下措施

1.安装杀毒软件和个人防火墙，并及时升级。

2. 把个人防火墙设置好安全等级，防止未知程序向外传送数据。

3. 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

4. 如果使用IE 浏览器，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

5. 不要执行任何来历不明的软件

6. 不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的，而且有的还会连环扩散，因此对邮件附件的运行尤其需要注意。

7. 重新选择新的客户端软件 很多木马病毒主要感染的是Microsoft 的OutLook 和OutLook Express 的邮件客户端软件，因为这两款软件全球使用量更大，黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件，例如Foxmail 等，收到木马病毒攻击的可能性就将减小，至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱，这样就能大大降低木马病毒的感染概率。

8. 将资源管理器配置成始终显示扩展名将Windows 资源管理器配置成始终显示扩展名，一些文件扩展名为vbs 、shs 、pif 的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

9. 尽量少用共享文件夹如果因工作等原因必须将电脑设置成共享，则更好单独设置一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

10. 运行反木马实时监控程序木马防范重要的一点就是在上网时更好运行反木马实时监控程序，TheCleaner 等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

11. 经常升级系统和更新病毒库。经常关注微软和杀毒软件厂商网站上的安全公告，这些网站通常都会及时地将漏洞、木马和更新公布出来，并在之一时间发布补丁和新的病毒库等。

一般用户在使用电脑的过程中要注意的几点

1、天上是不会掉馅饼的。

你可能会收到这样的消息，告诉你点击某个网站就可以得到什么好处。这往往是病毒的制造者给你设的陷井，只要你照他说的做了，那你的电脑中病毒的可能性就会提高！因此说，不熟悉的网站要提高警觉。

2、减少好奇心。

邮件中的附件不要轻易点击。陌生人给你发送的邮件如果包含的附件，多数情况下附件是病毒文件。有一些附件为了引诱用户点击经常将自己伪装成美女图片、美女情书或是跟美女有关的东西。切记有时好奇心大了不一定是好事！

3、提高警惕。

现在的病毒也能做到假借你朋友的名义给你传送文件，所以说当收到朋友给你传来的文件后，向朋友问明文件的内容后再打开查看也不晚！

4、非必要的网站插件不要安装

去某些网站时总会提醒你安装某某插件。先了解插件的作用后再安装也不迟。当然有一些插件是需要安装的，比如：Flash插件、相关银行网站的安全插件等。对于一些不知名网站的插件或用处不大的插件，更好不要安装。

如何手动隔离木马或病毒（不是删除）

没有 *** 手动

只用使用杀毒软件才可以

隔离就是将被感染的文件通过杀毒软件特有的 *** 进行加密并放置指定的目录，这是由于病毒被加密，所以不会发作了。

而删除就是将中毒文件直接删除。

有时病毒感染了很重要的文件，如果选择删除，就会连同有用的文件一起删除，而隔离就会将中毒文件加密并放入一个指定的目录，如果需要这个文件，还可以还原回来，就相当于一个回收站的过程。

隔离可以恢复被杀毒软件由于杀毒误删除的文件，所以推荐使用隔离。

隔离中的病毒，如果没有用途，可以直接删除，丝毫不会影响系统。

怎样让木马隐藏的更好？

一.躲过杀毒软件，悄无声息进入系统

木马要进入用户系统，首先要过杀毒软件这一关。否则一旦杀毒软件报警，木马就无隐蔽性可言了，立马被杀毒软件赶出系统。因此，面对杀毒软件，木马使尽浑身解数，通过各种手段隐藏自己，比较常见的 *** 有：寄宿于正常文件，木马加壳加密，修改木马特征码。

寄宿于正常文件

这个 *** 就是将木马程序与正常的文件捆绑在一起，捆绑后会生成一个可执行文件，当运行这个可执行文件时，正常文件和木马程序都会同时运行，这样木马就可以隐藏自己，悄悄进入用户的系统。要让木马实现这样的效果比较简单，只需要下载一个文件捆绑器即可，这里我们以木马老大“灰鸽子”出口的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮，选择一个正常的可执行文件，例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来。需要捆绑的文件添加完成后，我们可以在“捆绑器”下方为捆绑后生成的文件指定一个文件图标。最后单击“捆绑文件”，即可将两个文件捆绑成一个可执行文件。

虽然这种 *** 比较简单，但是效果不佳，碰上杀毒能力强劲的杀毒软件，木马还是会被逮个正着。

二.木马加壳加密

“壳”是一种专门保护软件的程序，当运行一款加过壳的软件时，首先会运行这个软件的壳，壳会将包含在其中的程序进行还原，给予使用。当使用完毕后，壳又会将程序进行加密，整个过程都是在壳的保护过程中进行的。

正因为壳的性质，木马会进行加壳操作以使自身得到加密，这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎，增强了加壳程序的检测，对于加过壳的程序，杀毒软件会先将其脱壳，再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件，那么还是很难逃过杀毒软件的查杀的，除非使用一些冷门的加壳软件。

修改木马特征码

这应该是最为有效的躲避杀毒软件的 *** 。我们都知道，杀毒软件判定这个程序是否是病毒是通过特征码来决定的，如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号，那么就判定它是病毒。根据这个原理，我们是否只要让木马的代码与杀毒软件的特征对不上号，就可以躲过杀毒软件的查杀呢？答案是肯定的，修改木马的特征码需要使用16进制编辑器，例如UltraEdit、Winhex等。修改特征码可以采用两种 *** ：1、直接修改特征码：用16进制编辑器打开木马后，将其中的特征码都替换为0；2、增加跳转指令：在木马特征码处增加一条跳转指令，让程序运行到该处时跳到下一段代码，这样做的目的是使杀毒软件检测时跳过这段代码的检测。

防范：在这一部分，木马的隐藏手段对我们的威胁还是比较小的。只要有足够的安全意识，就可以将木马拒之门外。

首先我们来看看如何对付经过捆绑的木马文件。由于捆绑文件是由两个文件合并生成的，虽然我们只能看到一个文件，但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮，浏览选择可疑文件，如果程序下方的“包含多个可执行文件”选项被打上钩，这就表示文件被捆绑了。

至于对木马程序进行加壳，曾经是很流行的一种木马隐藏手段，但是随着杀毒软件的升级，木马已经很难再有效地利用这种手段。根据壳的原理我们可以得知，加壳木马运行后，会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的，因此大部分的杀毒软件都会抓住这个机会，将木马铲除。

如果唯一能对杀毒软件造成一点危害的，就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀，如果要躲避多款杀毒软件，就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件，安装两款杀毒也是一个不错的办法。

三.隐藏窗口、设置文件属性、自我删除

隐藏窗口

木马的服务端程序是一个可执行程序，和我们在Windows上使用的绝大多数的软件相同，都是标准的Win32程序。不同的是，我们运行普通的可执行程序时，会出现软件窗口，我们可以在这个软件窗口中进行操作。而木马的服务端运行后，却没有出现窗口，这是因为木马服务端程序在编写的过程中将其窗口属性设置为隐藏，也就是说，木马服务端运行后的窗口是存在的，只是我们无法看到而已。

设置文件属性

木马为了隐藏在用户系统中生成的文件，通常会设置文件的属性为“隐藏”和“系统”，这样我们就无法在普通模式下看到木马的文件。

自我删除

自我删除是木马最初就具有的一种功能，当运行木马服务端程序后，服务端程序会将自身删除。这样做的目的是清除留下的痕迹，达到隐藏自身的效果。

防范：隐藏窗口和删除自身是木马服务端最常用的功能，虽然可以在一定程度上隐藏自己，但是也会因此而暴露自己。当我们双击一个可执行程序，结果没有出现任何窗口，或者运行后这个可执行文件消失了。那么我们很有可能中了木马，因为这是运行木马服务端最基本的两个特征。

设置文件属性是木马和病毒乐此不疲的隐藏手段，虽然手法简单，但效果不错。破解的 *** 也比较简单，点击资源管理器的“工具”菜单→“文件夹选项”，切换到“查看”标签，将“隐藏受保护的操作系统文件”前面的钩去掉，同时选择“显示所有文件和文件夹”选项，即可让隐藏的木马文件现形。

四.进程隐藏，遁地于无形

稍懂得安全保护知识的朋友都会通过任务管理器查看是否有可疑进程，以此确定木马的存在。不过随着木马编写技术的提高，在任务管理器中查找木马的 *** 不再是100%的有效。通过Hook技术编写的木马可以实现进程的隐藏和进程的插入。即使木马在系统中运行，我们在任务管理器中也只能看到正常的进程，而无法看到木马的进程。在了解这种隐藏技术之前，我们有必要先了解一下什么是Hook。

什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序就会收到系统的通知，这时程序就能在之一时间对该事件做出响应，木马程序便抢在函数返回前对结果进行了修改。

传统的进程隐藏技术

在Windows98系统中有一种能将进程注册为服务进程的技术。这种技术称为RegisterServiceProcess。通过这种技术，任何程序的进程都能将自己注册为服务进程，也就是说木马可以将自己的进程注册为服务进程。而服务进程在Windows98中的任务管理器中是不显示的。这样我们就无法通过任务管理器找到木马的进程。

通过Hook的进程隐藏

传统的进程隐藏技术到了Windows2000以后就毫无用武之地，因为在Windows2000以后的系统中，服务进程也是在任务管理器中显示的，例如svchost.exe进程，该进程是一个服务进程，我们可以在Windows2000的任务管理器中看到，而在Windows98下则不可以。此路不通，另寻他路。传统进程隐藏技术落后后，木马又转而使用Hook技术的进程隐藏。

新型的进程隐藏技术基本都是通过Hook来实现的。例如我们熟悉的灰鸽子木马，其通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数。由于灰鸽子事先对该API函数进行了Hook，因此“任务管理器”返回给我们的信息是不真实的，是被Hook过的信息，而有关木马的进程信息已经被悄悄的处理掉了。

防范：使用“Windows优化大师”集成的“进程管理”工具。运行“Windows优化大师”→“系统性能优化”→“系统安全优化”→“进程管理”。在其中选择一个进程，然后将下方的进程状态切换到“模块列表”标签，一般的隐藏进程都会在这里现形。

至于采用Hook技术的进程隐藏，我们无法使用一般的工具来检查，不过有一款被喻为“反黑之刃”的软件──Icesword，可以将通过Hook技术隐藏的木马进程统统挖掘出来。Icesword我们曾经做过专门的介绍，在此不在阐述。用Icesword查看隐藏进程 *** ：运行Icesword，单击“进程”按钮即可。隐藏进程将会以红色字体显示。