木马病毒下载方式（怎样下载木马病毒）-web渗透测试

本文导读目录：

1、木马病毒一般是怎么传送过来的

2、传播木马或病毒的途径，有哪些？详细越好。。。

3、我要在哪里下载木马病毒？

4、给我讲讲木马病毒

5、特洛伊木马病毒，下载不了，怎么办？求一个详细的解决方法，好的还加分，电脑菜鸟，谢谢大家了

6、木马病毒下载

7、木马病毒在那个网页可以下载

木马病毒一般是怎么传送过来的

毕竟世界上没有绝对完美的防御。没有什么电脑可以一点漏洞都没有。所以我们大家都会入侵某某网站、个人计算机。但是相对于我们这方面的技术，欠缺的是防御自己计算机方面的方法与意识。今天我就把我个人知道的一些方法和知识写出来，和大家一起分享。

安全软件：杀毒软件、防火墙、病毒木马专杀软件、流氓软件清理类。（Windows系统上最好安装上这些安全产品）

Windows 的系统更新对于计算机安全来说由为重要，系统更新一定要打开，以及时修补计算机漏洞。

必要的计算机设置，比如：关闭潜在危险的服务telnet、ftp、3389、netbios等；给管理员用户设置一个强度密码，不要使用弱口令；删除其他无用的用户帐号、禁用guest用户、删除默认共享 $admin $c\d\e\f $ipc。

还有一些安全常识，要知道：有些木马病毒的隐藏性很好，而且事先一定做好了病毒免杀，所以不要把系统的安全全部放在杀毒软件上，也不要过分依赖于软件，要学会手动查杀计算机病毒木马。一般来说计算机病毒木马程序分为：键盘记录、远程控制、后门类等。因为杀毒软件的隐藏性都很好，一般是加载到启动项，这样系统在下次启动的时候就可以秘密的启动病毒木马程序。现在我要说一下病毒木马的几种启动方式：加载到win.ini、注册表启动项、引导扇区，一般来说就算病毒木马经过了免杀处理也就是：改变程序的入口点、插入进程技术等。使用病毒木马专杀工具就可以很有效的清除病毒木马程序。但是如果上面的方式都无法清除病毒木马程序的话，你可以尝试手动清理的方式，经常听见大家说手动清理病毒木马程序，但是有很多朋友还是不知道怎么清理。今天我就为大家介绍如何实现手动清理病毒木马程序。有几个病毒木马程序隐藏的地方我先告诉大家：注册表、引导扇区、win.ini、system32目录等，都是病毒木马程序隐藏的地方。一般来说首先要先删除病毒木马程序的启动项，然后再删除病毒木马程序的源文件，清理一下引导扇区、内存就可以了。

入侵一般是冲着你电脑里的重要资料来的，或者是广泛的入侵（大范围扫描）。所以之前最好对自己电脑里的数据资料做加密处理，这样才能有效的保护好你的资料不被其他人下载和阅读。

还有就是大家最好都有些安全意识。比如你的电脑感染了木马程序（这里指键盘记录程序），首先你运行了某些程序之后大概过了几分钟之后你的程序突然掉了，那就不要在登陆帐号了，因为很有可能你的电脑已经感染了病毒木马，感染这类木马你也不需要太过担心只要你不登陆帐号你也不怕什么的，有些木马程序是全局范围的，只要你在Windows上的text框输入字符木马程序都会记录下来并发送出去。而有些木马则是记录指定程序的，你不运行指定程序的时候那木马是不会工作的。

在你怀疑自己电脑感染了病毒木马程序的时候首先你可以先用专杀工具查杀一便，也可以看看有没有什么可疑进程在运行，有没有开放可疑端口。一般隐藏好的木马这两点是不会暴露的。找到了可疑木马病毒程序你可以在注册表和计算机的系统盘搜索一下，把注册表启动项目删除，再把分区内的源文件删除。然后再检测一下内存、引导扇区，应该没问题了。

还有一些是针对黑客入侵，大家都知道HACK技术入侵之前要做的事情。先会扫描我们计算机是否存在漏洞，我们可以先用安全工具检测一下自己的电脑是否也存在安全漏洞。比如默认共享要关闭、IPC共享、ADMIN共享。还有文件和打印机共享。此漏洞存在远程缓冲区溢出漏洞。

系统管理员密码最好是高强度密码，千万不要使用弱口令。远程连接服务不需要的话也一定要关闭：telnet、ftp、3389之类的。

因为我不经常使用那些软件，我的爱好是计算机编程。虽然我现在还在学习阶段，也不经常用软件。我建议大家不要过分依赖于软件。有的人使用了好几年的软件最后还都不知道软件实现的原理。

如果你要是学会了一门计算机语言那对你以后学习HACK技术会有很大帮助，只是会用工具、对黑客来说会有很大的局限性，做的事也很受限制。

再回到计算机防御上来说吧，防御好自己的计算机一点都不简单，我上面所说的也只是针对一般性的入侵。但对于真正的黑客我想可能也是没用的，我相信真正的黑客一定掌握着一种以上没被发现的漏洞。因为他没有公布所以很少人知道此漏洞。MS也不知道吧？

下面介绍一下常见的病毒木马欺骗的方法，以提高大家的安全意识。

WEB挂马，我想大家也都知道有些站点被黑客入侵以后首页被挂上了木马程序。只要用户打开对应的页面，木马就会利用浏览器的漏洞自动下载并执行。（所以本地电脑最好把杀毒软件的WEB监视功能打开）。

不要轻易接受陌生网友传送过来的文件和图片，软件有可能被恶意捆绑木马病毒程序。

尽量要去一些大型、专业的网站下载软件，打开软件之前要先查毒。

要禁得住诱惑！要知道天上没掉馅饼的时候，不要轻易去点别人发给你的连接地址（地址很有可能已经被挂上了木马病毒程序）。

因为现在大部分的漏洞也都是针对IE，如果不是很有必要就不要使用IE了，个人推荐使用Firefox浏览器。

把杀毒软件的下载更新打开、或者定期下载杀毒软件的更新补丁，以保持杀毒软件的最新病毒库。不然你的杀毒软件就行同虚设。

传播木马或病毒的途径，有哪些？详细越好。。。

12.1.2 木马的工作原理（2）

http://book.51cto.com 2008-07-21 15:26 李匀电子工业出版社博文视点我要评论(0)

摘要：《网络渗透测试——保护网络安全的技术、工具和过程》第12章木马和后门的运用,这一章主要介绍考察木马、病毒及后门应用程序,还会介绍一些恶意黑客和渗透测试人员使用的著名病毒、木马及后门程序，最后讨论如何检测这些恶意软件及在网络上预防这些恶意软件攻击的步骤，本节为木马的工作原理。

标签：网络安全 Web 恶意软件攻击网络渗透测试

Oracle帮您准确洞察各个物流环节12.1.2 木马的工作原理（2）3．木马的启动方式作为一个优秀的木马，自启动功能是必不可少的。自启动可以保证木马不会因为用户的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以很多编程人员都在不停地研究和探索新的自启动技术。一个典型的例子就是把木马加入到用户经常执行的程序（例如Explorer.exe）中，当用户执行该程序时，木马就自动执行并运行。当然，更加普遍的方法是通过修改Windows系统文件和注册表实现自启动。实现自启动的常用方法包括下述几种，通过启动组实现自启动这也是一种很常见的方式，很多正常的程序都用它，大家常用的QQ就是用这种方式实现自启动的，但木马很少使用这种方式，原因在于启动组的每个程序都会出现在“系统配置实用程序”（msconfig.exe，以下简称msconfig）中。事实上，出现在“开始”菜单的“程序\启动”中足以引起普通人的注意，所以，极少有木马使用这种启动方式。在Win.ini文件中启动同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。在Windows3.2中，Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中，这种方法也不很适合木马使用。在System.ini文件中启动System.ini文件位于Windows安装目录下，其中[Boot]节中的Shell= Explorer.exe是经常被用于隐藏加载木马的地方。通常的做法是将该项变为Shell= Explorer.exe Sample.exe。这里的Sample.exe是某个木马服务端程序。我们可以在"Explorer.exe"后加上木马程序的路径，这样Windows启动后木马也就随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也就可以保证永远随Windows启动了，名噪一时的尼姆达病毒就使用了这种方法。这时，如果木马程序也具有自动检测添加Shell项的功能的话，那简直是天衣无缝的绝配，我想除了使用查看进程的工具中止木马，再修改Shell项和删除木马文件外没有别的破解之法了。但这种方式也有先天不足，因为只有一个Shell项，如果有两个木马都使用这种方式实现自启动，那么后来的木马可能会使前一个木马无法启动，此所谓以毒攻毒。System.ini文件中的［386Ehn］节的“driver=路径\程序名”也可以用来实现自启动。此外，System.ini中的［mic］、［drivers］、［drivers32］也是加载程序的好地方。在*.ini文件中启动后缀为.ini的文件是系统中应用程序的启动配置文件，木马程序利用这些文件能够自启动应用程序的特点，将制作好的、带有木马服务端程序自启动命令的文件上传到目标主机中，这样就可以达到启动木马的目的了。通过修改文件关联启动修改文件关联是木马常用手段，例如，在正常情况下，.txt文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则.txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样。冰河木马通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\notepad.exe %1”修改为“%SystemRoot%\system32\sysexplr.exe %1”，实现该木马的启动。只要用户双击任意一个.txt文件，原本应该使用notepad.exe程序打开.txt文件，现在就变成启动Windows system32目录下的sysexplr.exe木马程序了。需要提醒读者的是，不仅仅是.txt文件，其他如html、JPG、Zip、rar等扩展名都是木马作者制定自动启动方案的目标。通过捆绑文件方式启动木马和正常程序捆绑，有点类似于病毒，程序在运行时，木马程序先获得控制权或另开一个线程以监视用户操作，截取密码等，这类木马编写的难度较大，需要了解PE文件结构和Windows的底层知识（直接使用捆绑程序除外）。使用著名的黑客软件Deception Binder就可以实现木马与正常程序的捆绑。这是国外的一款文件合并器，小巧而功能强大。能够捆绑任意格式（包括.txt、.jpg）文件；能够设置打开文件是否隐蔽运行；能够设置打开文件是否加入注册表启动项；能够设置打开文件时是否显示错误信息以迷惑对方等。当木马程序连接到Notepad时，其结果会显示为Notepad，而且执行时也像是Notepad，但同时也会执行木马程序。通过将特定的程序改名方式启动这种方式常见于针对QQ的木马，如将QQ的启动文件QQ2000b.exe，改为 QQ2000b.ico.exe（Windows默认不显示扩展名，因此它会被显示为QQ2000b.ico，而用户会认为这是一个图标），再将木马程序改为QQ2000b.exe，此后，用户运行QQ，实际上运行了QQ木马，再由QQ木马去启动真正的QQ，这种方式实现起来很简单。通过Autoexec.bat文件，或winstart.bat，config.sys文件启动其实这种方法并不适合木马使用，因为该文件会在Windows启动前运行，此时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想像，SoftIce for Win98（功能强大的程序调试工具，被黑客奉为至宝，常用于破解应用程序）也是先要在Autoexec.bat文件中运行然后才能在Windows中显示窗口，进行调试，既然如此，谁能保证木马不会这样启动呢?通过注册表启动这里通常有两组注册表项供使用。下面分别予以简要介绍。通过下面的三个注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 这是很多Windows程序都采用的方法，也是木马最常用的方法。它的使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表项中的主键，通常木马会使用最后一个。使用Windows自带的程序msconfig或注册表编辑器（regedit.exe）都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除（手工删除后，木马程序又自动添加上了），相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢?其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。破解方法是，首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了，然后，你就可以删除注册表中的键值和相应的木马程序。采用这种启动方式的典型木马包括：BO2000、GOP、NetSpy、IEthief、冰河等。通过下面的三个注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

这种方法好像使用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢？其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过三五行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。还有一种控制再次启动的方法，它不是在启动的时候添加注册表项，而是在退出Windows的时候添加，这就要求木马程序本身要截获Windows的消息，当发现关闭Windows消息时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样使用Regedit也找不到它的踪迹了。这种方法也有个缺点，就是一旦Windows异常中止（比如断电），木马也就失效了。另外使用这三个键值并不完全一样，通常木马会选择第一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束后才会继续启动Windows。采用这种启动方式的典型木马包括Happy99等。4．黑客欺骗用户运行木马的方法木马是一个软件，它由使用者传播或种植，而不会“长腿”自己跑到用户的机器上，正像《特洛伊》剧情中描述的一样，木马往往是用户自己将其带进计算机中的。有了木马程序，如果没有高超的骗术，木马也无用武之地，因此，这里将简单地介绍几种网络上流行的欺骗方法，目的是让读者了解这些骗术的内容，如果遇到类似情况，也可以当场揭穿而不会付出城池失守的代价。捆绑欺骗把木马服务端和某个游戏，或者Flash文件捆绑成一个文件通过QQ或邮件发给受害者。当受害者对这个游戏或者Flash文件感兴趣而下载到机器上，而且不幸打开了文件后，就会被种植上木马。受害者会看到游戏程序正常打开，但却不会发觉木马程序已经悄悄运行。这种方法可以起到很好的迷惑作用，而且即使受害者重装系统，如果用户保存了那个捆绑文件，还有可能再次中招。邮件冒名欺骗现在上网的用户很多，但其中一些用户的电脑知识并不丰富，防范意识也不强，当黑客用匿名邮件工具冒充用户的好友或大型网站、政府机构向目标主机用户发送邮件，并将木马程序作为附件。用户看到发送者的名字是某知名网站或大型机构，而附件命名为调查问卷，注册表单等，用户就有可能毫无戒心地打开附件，从而种植上木马。压缩包伪装这个方法比较简单，也比较实用。首先，将一个木马和一个损坏的Zip/Rar文件包（可自制）捆绑在一起，生成一个后缀名为.exe的文件。然后指定捆绑后的文件为Zip/Rar文件图标，这样一来，除了后缀名与真正的Zip/Rar文件不同，执行起来却和一般损坏的Zip/Rar文件没什么两样，用户可能根本不知道木马已经在悄悄运行了。网页欺骗也许读者在网上都有这样的经历，当用户在聊天的时候，入侵者发给用户一些陌生的网址，并且说明网站上有一些比较吸引人的东西或者热门的话题。如果用户不够警惕，或者好奇心较强，不幸单击了这个链接，在网页弹出的同时，用户的机器也可能已经被种植了木马。

欺骗的方法多种多样，并且随着时间的推移，新的方法和手段也都会被发明出来。

我要在哪里下载木马病毒？

如果作为研究之用可以到卡饭或者剑盟这两个社区的病毒样本区去下载曾经的以及最新的病毒样本。 www.kafan.cn www.jiangmeng.com

采纳哦

给我讲讲木马病毒

什么是木马

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

什么是木马

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

从木马的发展来看，基本上可以分为两个阶段。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

瑞星杀毒,金山毒霸,木马克星，卡巴斯基杀毒，江民杀毒都可以

木马--并不是一种对自己不利的“病毒”，能够应用和奴驾它的人，就将它看为是一种资源，像一些黑客用木马盗取某些国家或公司的机密文件等等……

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

一般自己中了木马病毒，首先要认清这是个什么病毒有的很简单也很好解决，像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解决的--先断开网络，然后打开IE浏览器，点工具里的INTERNET选项，然后把INTERNET临时文件夹中的所有文件都删除，最后再用瑞星就可以杀掉了。

参考资料 http://61.135.153.48/2003/virusfaq/index.html?page=174pagelist=171

其实 Trojan是某些防毒软件对后门木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。费尔托斯特安全是一款可以清除木马和病毒的软件，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点：由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan 木马的方法：

使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名，您需要先准确的记录下这个文件名。比如：如果防毒软件提示 C:\Windows\hello.dll 是 Trojan/Agent.l，则记下 C:\Windows\hello.dll 这个名字。这里需要注意文件名一定要记准确，因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的文件清除掉，那就麻烦了；

暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描；

下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；

释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll，那么这时就输入它；

按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序会继续提示是否确定要清除它，仍然选“是”；

之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件，其中会包含这个木马的样本文件，如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。

最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。

也有稍顽固的木马，你可以进入DOS彻底删除！

对木马

用Spy Sweeper杀，也可以监控

下载地址：http://download.myrice.com//arts/dn01/dn0106/24189.html

注册码SSDC-OPEN-AAAA-KJEA-PZAK

马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开

特洛伊木马病毒，下载不了，怎么办？求一个详细的解决方法，好的还加分，电脑菜鸟，谢谢大家了

在电脑配置并不高的机子上，不安装杀毒软件肯定效率要高得多。不用杀毒软件避免电脑感染病毒的方法，说白了就是以用户身份上网，而不是管理员身份。下面说一下怎么以用户方式上网。

1、安装系统后(包括GhostXP)，首先把所有分区都转化成NTFS格式，很重要哦。不要说不会啊，就是单击"开始"按钮——点击“运行”后输入命令 "convert c: /fs:ntfs "，就可以把C盘转换成NTFS格式了，不过要重启一次电脑才能真正转换成功。把上述命令中的C:改成别的盘符就把其它盘也转换成NTFS格式了。

2、在控制面板中打开"用户帐号"，将Administrator修改密码，尽量复杂些，不一定要记得，再创建一个计算机管理员用户和受限用户，管理员用户一定要密码，且也要复杂一些，这个密码要记住，因为以后装软件要用它。当然，记不住可以在DOS下改。

3、设置好后，进入创建的计算机管理员用户，打开“我的电脑”，单击“工具”——“文件夹选项”，点击第二个选项卡“查看”，把里面的“使用简单文件共享(推荐)”前的勾去掉。这个是以后打开文件夹或文件的属性时会出现“安全”选项卡。

4、把所有分区属性的“安全”选项卡中“users”用户去掉。这是它默认有一个特殊权限，可以在分区下或文件夹内创建文件夹。再可以创建或保存文件，这可能给病毒可乘之机。所以去掉。还有一个是“everyone"也去掉。添加创建的受限用户进去，权限是“只读”。

5、个别文件的权限问题：象QQ、游戏都需要完全权限，所以在计算机管理员用户中要给受限用户完全权限。最好把与QQ程序在一起的文件给只读权限，防止木马替换QQ及相关的DLL文件。

6、单击"开始"按钮，在“运行”中输入“REGEDIT”，打开注册表，把里面的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]或[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]的权限设为只读。防止病毒利用此处启动。

7、清理上网缓存及临时文件。上网时，浏览的内容都存放在C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files中，这也是病毒藏匿的地方，还有就是C:\Documents and Settings\用户名\Local Settings\Temp 下的临时文件，很多程序要用到这个地方，病毒也喜欢藏在这里。所以，在开机时用批命令清空这两个文件夹。让病毒无处藏身。批命令为：

del C:\docume~1\用户名\Locals~1\Tempor~1\*.*

del C:\Docume~1\用户名\Locals~1\Temp\*.*

当然还可以把History和Cookies都清空。

创建一个批命令文件，放到开始菜单中的“启动”项中。

这样也就做好了受限用户上网的准备工作，网上的病毒已经无法感染你的系统，也无法更改系统文件，对其它分区也无权更改，这样U盘病毒也无关紧要，因为病毒无法写入分区根目录下。网页病毒无法更改系统文件，再凶的网页病毒也无能为力了。

此种方法不适合频繁安装软件的人，因为安装软件需要管理员权限。对于只上网浏览或下载音乐电影文件的，没什么影响。