荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: Mill (冥王星之子), 信区: Hacker
标  题: Netspy说明
发信站: BBS 荔园晨风站 (Wed Dec  2 18:17:10 1998), 站内信件

     Netspy是由国内的爱好者编写的一个win95/98下运行的客户
  机/服务器模式远程控制软件,由客户程序和服务器程序两部分
  组成。在最新的netspy版本中,客户程序透过互连网与安装运行
  在远程计算机上的服务器程序打交道,可以做到下列事情:
   浏览远程计算机的文件
   从远程计算机上/下载文件
   发送消息给远程计算机
   关闭远程计算机
   观看远程计算机的屏幕
   观看远程计算机中运行的进程
   终止远程计算机中运行的程序
   在远程计算机上执行程序
  Netspy服务器的安装方法十分简单,只需在待安装的机器上运行
  一次netspy.exe文件,即可安装完成。以后每次启动windows95/98
  时,就会自动启动netspy.exe程序了。Netspy的客户程序有两个,
  一个是NetMonitor.exe,一个是procmon.exe。两个程序的界面都非
  常友好,全中文提示,NetMonitor.exe还有仿explorer的界面,供浏
  览远程计算机使用,还能在网络上搜索安装了netspy.exe程序的计算
  机。作为远程控制软件,Netspy不愧为一套使用简单、功能强大的工具。
  科学落入坏人手中往往成为害人的工具。由于netspy.exe程序的安
  装后每次重新启动Windows95/98都自动启动,而且没有提供卸载手段,
  所以它可以被入侵者当作"后门"软件使用:只要设法欺骗受害人,使
  他运行一次netspy.exe文件,那么今后入侵者就仿佛有了一个进入受
  害者计算机的后门一样,只要受害人的计算机一上网,入侵者就可以
  神不知鬼不觉地取得它的完全控制权!这和前段时间被炒的沸沸扬扬
  的backoffice非常相似。由于网虫们经常会从网络上下载软件来使用,
  所以随时都面临着被安装后门的危险。
    那么如何检查自己的计算机是否被入侵者安装了netspy.exe文件,
  又如何卸载自行安装或者被入侵者安装的netspy.exe文件呢?这要从
  netspy.exe文件安装的原理说起了。
    Netspy.exe文件运行后,立即拷贝一个副本到windows安装目录的
  system目录下,并在注册表中加入下列键值:HKEY_LOCAL_MACHINE\SO
  FTWARE\Microsoft\Windows\CurrentVersion\Run\netspy
    该键值就是使netspy.exe在每次启动windows时都被执行的原因。
  要检查当前的系统中是否有netspy.exe在运行,只需察看windows安装
  目录下是否有netspy.exe,以及打开注册表编辑器,察看在HKEY_LOCA
  L_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面是
  否有netspy键值即可。到这里似乎有这样的结论,要使netspy.exe不再
  被运行,只需删除这个键值,并删除system目录下的netspy.exe文件即
  可。然而netspy设有保护机制,只要是在netspy.exe驻留的环境下,无
  论删除netspy.exe文件,还是删除键值,都是无效的,删除的东西 会
  被自动补上。
  下面将netspy的检测方法和删除方法详细说明如下:
  1、 检测netspy
  方法一:
  进入windows安装目录(一般是c:\windows),键入下列命令:
  cd system
  dir netspy.exe
  如果dir结果有netspy.exe文件,则表明netspy.exe被运行过。
  方法二:
  打开"开始"菜单,选"运行",键入regedit,回车;
  逐步进入下列目录:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  察看右边的显示,如果有类似netspy "c:\windows\system\netspy.exe"字
  样,则表示netspy.exe正在运行!
  2、 卸载netspy.exe
  重新启动计算机,在出现Starting windows字样时按shift-F5,进入命令行
  状态。进入windows安装目录,然后键入下列命令:
  cd system
  del netspy.exe
  好!netspy已经被干掉了!
  如果想干净点,还可以把注册表里面那个键值也杀掉,只需运行regedit,进入
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
  然后把netspy键值删除即可。

          (郑捷文)

※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.0.167]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店