大飞

　　　　Netspy是由国内的高手编写的一个Win95/98下运行的客户机/服务器模式远程控制软件，由客户程序和服务器程序两部分组成。在最新的Netspy版本中，客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道，具有以下功能：

　　＊ 浏览远程计算机的文件

　　＊ 从远程计算机上/下载文件

　　＊ 发送消息给远程计算机

　　＊ 关闭远程计算机

　　＊ 观看远程计算机的屏幕

　　＊ 观看远程计算机中运行的进程

　　＊ 终止远程计算机中运行的程序

　　＊ 在远程计算机上执行程序

　　　　Netspy服务器的安装方法十分简单，只需在待安装的机器上运行一次netspy.exe文件，即可安装完成。以后每次启动Windows95/98时，就会自动启动netspy.exe程序了。Netspy的客户程序有两个，一个是NetMonitor.exe，一个是procmon.exe。它们都是全中文界面的，使用十分简单方便。Netspy的缺点是不能为具体的机器设置密码，这样安装了netspy server的机器一旦上网，有可能被任何安装了netspy客户程序的机器所控制了。

　　　　由于netspy.exe程序安装后，每次重新启动Windows95/98都自动启动，而且没有提供卸载手段，所以它可能被入侵者当作“后门”软件使用：只要设法欺骗受害人，使他运行一次netspy.exe文件，那么今后入侵者就仿佛有了一个进入受害者计算机的后门，只要受害人的计算机一上网，入侵者就可以神不知鬼不觉地取得它的完全控制权！这和前段时间被炒得沸沸扬扬的Back Orifice非常相似。由于网虫们经常会从Internet上下载软件来使用，所以随时都面临着被入侵的危险。

　　　　那么如何检查自己的计算机是否被入侵者安装了netspy.exe文件，又如何卸载自行安装或者被入侵者安装的netspy.exe文件呢？这要从netspy.exe文件安装的原理说起了。

　　　　Netspy.exe文件运行后，立即拷贝一个副本到Windows安装目录的system目录下，并在注册表中加入下列键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netspy

　　该键值就是使netspy.exe在每次启动Windows时都被执行的原因。要检查当前的系统中是否有netspy.exe在运行，只需查看Windows安装目录下是否有netspy.exe，以及打开注册表编辑器，查看在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面是否有Netspy键值即可。到这里似乎有这样的结论，要使netspy.exe不再被运行，只需删除这个键值，并删除system目录下的netspy.exe文件即可。然而Netspy设有保护机制，只要是在netspy.exe驻留的环境下，无论删除netspy.exe文件，还是删除键值，都是无效的，删除的东西会被自动补上。

　　　　下面将netspy的检测方法和删除方法详细说明如下：

　　　　1、 检测netspy

　　　　方法一：

　　　　进入Windows安装目录（一般是C:\Windows），键入下列命令：

　　　　cd system

　　　　dir netspy.exe

　　　　如果dir结果有netspy.exe文件，则表明netspy.exe被运行过。

　　　　方法二：

　　　　打开“开始”菜单，选“运行”，键入regedit，回车；

　　　　逐步进入下列目录：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　查看右边的显示，如果有类似netspy "c:\windows\system\netspy.exe"字样，则表示netspy.exe正在运行！

　　　　2、 卸载netspy.exe

　　　　重新启动计算机，在出现Starting windows字样时按shift－F5，进入命令行状态。进入Windows安装目录，然后键入下列命令：

　　　　cd system

　　　　del netspy.exe

　　　　好！Netspy已经被干掉了！

　　　　如果想干净点，还可以把注册表里面那个键值也杀掉，只需运行regedit,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，

　　然后把Netspy键值删除即可。