如何清除BO2K？
　　答：BO2K的功能虽然十分强悍,但它的工作原理却很简单。我们知道它发生作用的前提是每次在Windows启动时,同时悄悄地在我们的电脑上启动一个服务器程序，黑客通过我们登录因特网时的IP地址，用配套的客户端程序登录到我们的电脑，从而实现远程控制我们电脑的目的。从原理上讲，BO2K和著名的PC
Anywhere一样，是一套简单的远程登录及控制软件工具。既然我们知道了BO2K进行工作的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,那么对付它的最直接有效的方法，就是从我们Windows的启动配置中将自动执行的黑客服务器程序删除掉。
　　对付BO2K的方法如下：首先检查Windowssystem下有没有一个名叫UMGR32~1.EXE的文件；如果是NT系统,则在Winntsystem32目录下检查它是否存在，这个文件的存在往往意味着系统已经被BO2K入侵。但这种方法并不是绝对保险,因为BO2K允许入侵者自行改变这个文件名,较可靠的办法还是检查可疑文件的长度,BO2K服务端的文件大小是114688字节,
如果发现某个文件刚好符合这个长度,可使用EDIT打开它,如果发现“Back Orifice”字串,那么该系统已经确实无疑地感染了BO2K。
　　BO2K运行时必须修改注册表,因此我们可根据下面的线索通过注册表编辑器使用“查找”检查自己的系统是否被BO2K入侵。被BO2K修改过的注册表应该包含下列特征：
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunServices]
　　“UMGR32.EXE”=“C:WINDOWS
　　SYSTEMUMGR32.EXE”
　　发现了BO2K的蛛丝马迹后,Windows9x用户可以在纯DOS(而不是DOS窗口)下删除文件名以UMGR32打头的文件(del
umgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的操作系统再做修改了。
　　另外，如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K
1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法操作”提示而无法在系统中顺利驻留，因此使用Windows98
SE版是暂时免疫BO2K的方法之一（可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在）。

　　什么是KeyboardGhost，如何清除？
　　答：KeyboardGhost（键盘幽灵）是一个专门记录键盘按键情况的黑客软件，可以运行在Win9x/NT/2000下。它的原理是这样的：Windows系统为了开辟键盘输入的缓冲区，在核心区保留了一定数量的字节，其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表，将[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunService]→KG.EXE这一键值删除，并将文件KG.EXE从WindowsSystem目录下删除。
同时删除C:KG.DAT这个文件。

　　什么是功能较多钥匙Xkey？
　　答：功能较多钥匙Xkey是产自国内的密码查找软件，该软件把词典内容分为“电话号码”、“出生日期”、“姓名字母”、“英文数字”四个部分，在每一部分可以按照需要设置有关参数，以快速地制作出许多破解工具所需要的词典文件。功能较多钥匙Xkey的
1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 功能较多钥匙Xkey可以根据你的设置生成各种类型的口令，下面逐一介绍：
1、电话号码：分为“普通电话”和“数字移动电话或寻呼机”两种，这里可以选择不同位数的号码。
在“词典长度”状态栏可以直观地看到词典的长度。词典的越长，那么生成的时间越长、词典文件也越大。2、出生日期：分为月日、年月、年月日三种，并可选择二位或四位年份和设置年份范围。3、姓名字母：分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名；在姓氏范围中，你可以直接输入某个姓氏或按照人口频度选择姓氏范围，在“姓氏范围”中，你可以直接输入某个姓氏或调整人口频度。
除此之外，你还可选择加上固定前缀、常用数字和出生日期，姓名换位或使用分隔符。4、英文数字：此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。
　　在生成词典文件之前，你还可以对词典中的字母进行大小写设定和设定词条宽度，并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后，来到“生成词典”对话框，点击“完成”按钮，弹出“保存词典文件”对话框，设置要保存的词典文件类型为TXT或DIC，然后用鼠标单击“保存”按钮，Xkey就开始为你生成词典了。

　　什么是NetSpy，如何清除？
　　答：Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件，由客户程序和服务器程序两部分组成。在最新的Netspy版本中，客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的操作，如：终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。
　　要想通过NetSpy自由存取别的计算机上的软件，同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单，只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里，以后每次启动Windows95/98时，就会自动启动netspy.exe程序了。这时，只要在别的计算机上执行netmonitor.exe，在菜单里选择添加计算机，输入目标计算机的IP地址或域名地址，就可以连接到目标计算机上进行操作了，使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码，所以说安装了netspy
server的机器一旦上网，有可能被任何安装了NetSpy客户程序的机器所控制。
　　由于Netspy.exe程序安装后，每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy，所以它也是一个典型的特洛伊黑客程序：只要设法使欲攻击对象运行一次netspy.exe文件，目标计算机的后门就彻底对外开放了。只要对方的计算机一上网，入侵者就可以神不知鬼不觉地取得它的绝对控制权！
对策是在“开始--运行”里输入REGEDIT.EXE，直接打开注册表，如果在：“HKEY_LOCAL_MACHINE Software
Microsoft
WindowsCurrentVersionRun”里如果有类似“netspy”、“C：＼windows＼system＼netspy.exe”等字样，说明NetSpy已经进驻系统。另外一种识别方法是：打开资源管理器，进入Windows下的System子目录，如果发现有NetSpy.exe文件（86.5KB）,没说的，中招了！
　　清除NetSpy的方法是：重新启动计算机，进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器，进入Windows的注册表，找到并删除“KEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”下NetSpy的键值即可。

　　什么是ProxyThief，如何清除？
　　答：ProxyThief被安装后，会用NetInspect 对机器的0到9999端口进行扫描，以找出可用的Free Proxy!端口，
然后通过将你的计算机设置成代理服务器， 达到冒用你的IP上网的目的
。黑客可以通过NetSpy或BO2K这样的工具对ProxyThief进行远程控制。清除方法是运行注册表，查找关键字“ProxyThief”，将所有与之相关的键和键值删除。

　　什么是“冰河”，如何清除？
　　答：国产黑客软件“冰河”
与所有的特洛伊木马程序一样，当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行，虽然在表面上看不出任何变化，但事实上，该服务器端程序已悄悄地进驻该机的注册表，以后，只要这台电脑一启动上网，可怕的“后门”（默认端口号7626）就会悄然洞开，可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制（重新启动、关机等）、注册表键值读写等几乎是全方位的控制。
如果上网时一旦不小心误入了“冰河”，脱身的方法如下：
　　1.在c:Windowssystem目录下，查找并删除名为KERNEL32.EXE的文件。
　　2.“冰河”为了进行自我保护，它可将自己与文本文件关联，以便在程序被删除后在打开文本文件的时候又自动恢复，这个关联文件是SYSEXPLR.EXE。
　　3. 检查注册表。在“开始—运行”里输入“regedit”并回车，在“HKEY_LOCAL_MACHINE
SoftwareMicrosoftWindowsCurrentVersion
Run和HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersionRunServices”，查找并删除有KERNEL32.EXE文件的键值。
　　4.最后，因为“冰河”的服务器端程序名不一定就是KERNEL32.EXE，所以最可靠的办法还是把C盘格式化后重新安装Windows。

　　什么是GirlFriend，如何清除？
　　答：GirlFriend属于木马程序。主要是获取目标机的密码等资料，另还可以传送信息、显示bmp图像等。运行了该木马之后，会在HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRUN下面找到键值名Systemtray，在Windows
下生成一个Wind11.exe文件，并将自身删除，然后修改注册表。 清除方法是删除该木马在注册表中所修改的键值名，再在纯DOS下删除Wind11.
exe。

　　什么是PortHunter，有何对策？
　　答：PortHunter占用大量的Socks进行端口搜索，盗用SMTP端口(:119)发E－mail、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。PortHunter降低局域网的数据传输效率，危害网络安全。对策是对于Novell
的局域网，采用限制指定程序运行的方法；对于其它框架的局域网的用户，则可以在服务器中设定禁止一些黑客程序的运行。

　　什么是Deep Throat，如何清除？
　　答：Deep
Throat属于特洛伊木马，功能还不少：可获取密码及系统信息，重启目标机器，将目标机设置成FTP服务器，读写、运行和删除目标机器上的文件，隐藏开始菜单和任务栏，截获屏幕图像等功能。
Deep Throat 2.0被执行后会在注册表HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRUN下面找到键值名Systemtray，在Windows下生成“Systray.exe”。
清除方法是删除该木马在注册表中的键值，接着在纯DOS下删除该木马启动文件。

　　什么是HDFILL，有何对策？
　　答：HDFILL属于特洛伊木马程序，表面上是个有着可爱画面的安装程序，但是在实际“安装”过程中会自动产生999999999个变长的文件，直到把你的硬盘填满垃圾为止。虽然要清除这么多垃圾文件非常辛苦，但是也只得耐心清除，要不然怎么办，格式化硬盘？对策还是防患于未然，安装LockDown2000来拦截来历不明的软件。