斩断跟踪窃密的“黑手” -天瑞科技，深圳电脑维修，深圳电脑维护

　　自从计算机走进我们的生活之后，我们就与密码结下了不解之缘。从Windows登录、信息查阅到拨号上网，到处都可看到密码的影子。设置密码是为了保证计算机信息安全，使未经授权的人无法随意使用计算机资源。现在，有许多键盘和鼠标跟踪工具软件如KeyGhost可以记录用户的鼠标和键盘操作，当然也包括帐号和密码。

　　这类软件隐蔽性相当强，如果随windows启动时一起运行，包括登录密码在内的操作信息就不知不觉地被记录下来。要是你和其他人共用一台机子，那么，你的一切操作都有可能在他人面前重现，而您在“auotexec.bat”、“启动”、“Win.ini”、任务栏，甚至使用“Ctrl+Alt+Del”都无法看到它们的踪迹。如何才能发现偷偷在计算机上运行的这类获取密码的软件呢？

　　让我来告诉你：我们知道，要是有人想跟踪记录你的操作密码，然后再乘你不在时查看密码，必然要把记录密码的文件保存在本地硬盘上（仅指未连网的单机，否则，记录密码的文件有可能保存到网络上的其他机器里），并且它在后台监视键盘和鼠标操作，会不停地记录信息。根据这一特点，我们在登录windows后，立即对所有的硬盘进行一次搜索，将搜索到的所有文件记录下来，然后，随便运行几个软件，再对所有的硬盘进行一次搜索，同样将搜索到的所有文件记录下来，把第一次搜索到的文件中剔除system.ini 、System.dat、 User.dat、Win386.swp、Index.dat等windows运行所必要的几个文件外，剩余几个文件和第二次搜索到的文件进行比较，看两次文件名相同但记录时间发生变化的文件是什么文件，这样的文件有可能是可疑文件，将确认可疑的文件删除，可有效地防止密码泄露以及防止您所做的操作被跟踪。

　　具体步骤如下：

　　1.单击资源管理器（Windows Me）“工具”菜单中的“文件选项”，把文件夹选项设置为“显示所有文件和文件夹”，并将清除“隐藏受保护的操作系统文件”复选，因为保存密码等有关信息的文件，其属性一般是隐含的。如果在文件夹选项设置为“不显示隐含文件或文件夹”的情况下进行搜索，那是徒劳的。

　　2.在资源管理器或开始菜单中运行“查找”命令，选择“文件或文件夹”，在 “搜索范围” 对话框内，选择“本地硬盘驱动器”，将“日期”选项的“介于”及“和”均设为当天日期，选中“搜索子文件夹”，如图1所示。单击“立即搜索”，搜索结果如图2所示（安装不同内容的电脑，其搜索结果不尽相同）。

　　3.机器随便运行两三个软件之后，重复第2步，搜索结果如图3所示。

　　4.比较两次搜索的文件，删除可疑文件。从图2和图3中可以看出，除了Windows系统在运行所必须的3个文件在两次搜索中文件修改时间发生变化之外，Syskey.dat文件在第一次搜索时的修改时间为20：28，而在第二次搜索时的修改时间为20：30，时间间隔基本上是两次搜索文件的间隔。而Syskey.dat文件正是KeyGhost软件保存密码等信息的默认文件名，应毫不犹豫将其彻底删除，而不能仅仅将其放入回收站。倘若当天在您上机之前已有人使用该电脑，则两次搜索到的文件数量较多，您只要关注您上机操作的那段时间文件修改时间发生变化的文件。
显然，象KeyGhost 这类软件保存密码等信息的文件名是可更改的，不能简单地在硬盘上找一找有没有这些默认文件名文件。另外，两次搜索文件没有发现可疑现象，不能断言您的机器上没有这些跟踪软件在后台运行，因为它们可根据设置在特定的时间里记录信息，也许这段时间它并没有记录信息。但起码可以说明我们刚才进行的操作未被克隆下来，也就是说操作信息未泄露。

　　一旦发现跟踪软件在后台运行，应立即到注册表去将其删除。由于注册表对Windows的正常运行有着举足轻重的作用，修改注册表之前最好先将其备份，以防不测。如果您是电脑的管理人员，养成经常到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
里面逛一逛的好习惯，常常能发现一些秘密。一般隐秘性较强的软件要随Windows一起启动后在后台运行，通常将其安装在上述注册表两个路径的主键里，KeyGhost就是安装在RunServices主键下面。

　　如果你未按上述步四步曲操作，而只是在注册表中逮到跟踪软件将其键值删除并把硬盘内相应的软件删除，并非万事大吉。因为即使跟踪软件被删除，而您的操作信息已被记录，窃密者仍然可以将记录信息的文件拷贝到其他装有同样跟踪软件的电脑里看记录信息里的内容。因此，一定要在硬盘里找到记录信息的文件并将其铲除才算搞定。