文/赵宇辉

　　几个星期前，笔者受朋友所托，研究一款“系统监视软件”，说穿了其实就是和黑客软件差不多的东东——《电脑幽灵》(英文名：)，最新版本为2001年2月出的4.00 Beta 1版。起因是朋友一次上网的聊天记录被别人一字不差地发表到了BBS上面，而且密码被人更改了，最后查出元凶就是《电脑幽灵》。于是笔者马上着手该软件的测试。

　　软件作者在软件的说明中写道：运行后可记录鼠标和键盘(包括小键盘)的动作，同时可以定时、定项记录，并控制软件运行时间、启动热键和存储文件路径等多项功能，能随时查阅记录，并可以通过互联网发送记录文件。以下便是笔者的详细测试资料：

　　一、软件的安装与使用

　　下载软件并解压缩之后，双击其中的pcghost.exe文件软件便运行了。和其他木马软件类似，《电脑幽灵》运行后电脑没有任何反应，而且用“Ctrl+Alt+Del”组合键呼出的关闭程序列表中也没有其相关内容显示。程序启动后，默认启动热键为“Alt+F12”，在1秒钟内连续按两次启动热键即可启动配置界面。其中共有5个选项卡，在软件附带的说明文件(PCGhost.hlp)中，这里不再赘述。其中值得注意的是其定时记录及发送邮件的功能，读者们是不是想起了前一阵子闹得沸沸扬扬的GOP(偷取OICQ密码的软件)。软件的使用者完全可以在配置好之后，在其它地方通过E-mail得到监视的信息。“存储设置”选项中建议记录类型前面的对号全部打上，以免漏记信息。最后不要忘了设定一个热键激活密码，免得别人更改你的设定。配置好之后点击保存设置，《电脑幽灵》就开始悄悄进行它的监控了。为了测试，我们运行了一些程序和做了一些文本处理一类的工作，然后用设定好的热键呼出《电脑幽灵》的配置界面，点击浏览记录按钮，选择好记录的保存位置，打开记录文件看一下，你会发现它已经详细地记录了程序运行之后系统所进行的一切操作(包括每一项操作的时间、操作程序的窗口名及操作内容)，如果在监视过程中有使用OICQ或者是登录过电子信箱的话，你的用户名和密码也都会出现在记录文件里，至于聊天记录就更不消说了(在这一版本中可以记录中文信息，以前的版本只可以记录按键)。

　　软件的使用就这么简单，如果在公用电脑或者是网吧的电脑上使用该软件的话，那么很不幸，其他用户的信息就会赤裸裸地摆在使用“幽灵”的人面前。值得庆幸的是如果该软件是未注册版的话，会每隔一定时间弹出一个要求注册的窗口，盗窃功能形同虚设。但是如果注册了的话……

　　二、软件的查找与拆除

　　老实说，该软件目前还没有发现预防的办法，没见过哪款杀毒软件能查出其是否存在。所以如果是要长期使用公用电脑的话，我们只能定期查看系统中是否有《电脑幽灵》。如同其它的木马软件一样在系统信息(开始菜单→程序→附件→系统工具)中还是可以找到该软件的。其特征信息为版本(4.0.0.170)，厂商(Sunstone Software Ltd.,Co.)，说明(PCGhost)。不过没有这些信息并不一定证明系统中就没有“幽灵”，虽然软件本身不提供修改这些信息的功能，但是通过其它途径还是可以完全更改的。

　　其实《电脑幽灵》升级到4.0版本之后，在运行的时候不仅需要主程序pcghost.exe(可以任意改名)，而且至少还需要一个DLL文件pcMsg.dll(以前版本不需要，但是以前的版本和OICQ有冲突)。这就为我们发现“幽灵”提供了捷径，点击“开始菜单”→“查找”→“文件或文件夹”，查找“pcMsg.dll”文件，如果找到了的话就可以肯定系统中有《电脑幽灵》的存在(至少是曾经安装过该软件)。但是的它的主程序是可以不和“pcMsg.dll”文件在同一目录的。我们可以用刚才说的方法在系统信息里面查看一下是否有“幽灵”在运行(很少有人会改它的这些系统信息的)，《电脑幽灵》的默认图标(如图2)一般情况下是不会改变的，可以把列表中的可疑程序的路径查看一下。另外，笔者为大家提供一个专门对付“幽灵”的软件——《幽灵终结者》(KillGhost)。软件仅有25K，免费软件，是香咖啡软件屋(my7g.com)开发的。软件下载地址为my7g.com。

　　《幽灵终结者》启动后只有一个简单的界面，如果系统中正在运行或者是曾经使用过《电脑幽灵》的话都会在中间用红色的文字提示。点击“开始探测”按钮就可以探测到本机中《电脑幽灵》的存盘文件的存放位置(发现时一定要删掉)、启动热键及热键激活密码，然后我们就可以呼出“幽灵”，用探测到的密码进入设定界面，之后在Windows的任务栏上面会显示电脑中正在运行的这个《电脑幽灵》的文件名，图4中显示的文件名为“start”，点击“开始菜单”→“查找”→“文件或文件夹”，查找“start.exe”文件即可找到系统中的“幽灵”了(注：主运行文件的名可由施放者任意更改，start仅是例子)。在设定界面中取消它的自启动功能，然后重新启动系统就可以删除了。如果施放者设定了自动发信功能的话，我们还可以在设定界面中找到其信箱地址，剩下的事不用我说了吧？