有网友怀疑这个软件中有木马，但也有人认为是杀软误报。如果你去问这个软件的作者，他多半会告诉你：对于这类破解工具，杀软大多报木马。
这个“绿色软件”中究竟有没有木马？
是骡子、是马——拉出来遛遛！
1、运行这个所谓的破解工具，目标是破除“影子系统”的30天试用期限。
运行后，卡巴斯基即刻报毒（图1）。

2、不让卡巴斯基杀它。接着运行这个ShadowsSetting(AT).exe。运行后，释放一个“幽灵”程序——00050612$game.exe。
之所以称之为“幽灵”，是因为它运行后即刻自动删除，但我想办法截住了它。
00050612$game.exe试图进行磁盘底层存取操作（图2）。我允许它操作一次。

3、接下来，所谓的“ShadowsSetting.exe”开始运行，但对话框已经变的面目丑陋！且要求访问网络（图3）！

4、再看看“破解结果”。事实证明：所谓“破解”——完全是骗人的鬼话（图4）！

5、再用瑞星扫一下这个ShadowsSetting(AT).exe，同样也报毒（图5）。

至此，这个所谓“绿色软件”是骡子、是马——不言自明。

附：

00037919$game.exe运行后改动的注册表内容：

1、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\1
"MRUListEx"=hex:01,00,00,00,03,00,00,00,00,00,00,00,0e,00,00,00,0d,00,00,00,07,\
  00,00,00,0c,00,00,00,0b,00,00,00,0a,00,00,00,05,00,00,00,02,00,\
  00,00,09,00,00,00,06,00,00,00,08,00,00,00,04,00,00,00,ff,ff,ff,\
  ff
"NodeSlot"=dword:00000006
2、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
"MRUListEx"=hex:00,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00,04,00,00,00,06,\
  00,00,00,07,00,00,00,05,00,00,00,ff,ff,ff,ff
"NodeSlots"=hex:02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
  02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02
3、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\6\Shell
"FolderType"="Documents"
4、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\42\Shell
"FolderType"="Documents"
5、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\97\Shell
"FolderType"="Documents"

6、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
"SavedLegacySettings"=hex:3c,00,00,00,d3,00,00,00,0b,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,05,00,00,00,00,00,00,00,10,16,d1,d8,3e,dd,c6,01,01,00,\
  00,00,c0,a8,01,03,00,00,00,00,00,00,00,00

7、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080710900063D11C8EF10054038389C\Usage
"HandWritingFiles"=dword:35370163
8、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
"Local AppData"="C:\\Documents and Settings\\baohelin\\Local Settings\\Application Data"

真正的高手.

老猫叔叔，小玛要一份了killvir#gmail.com

换#啊

引用:

【艾玛的贴子】老猫叔叔，小玛要一份了killvir#gmail.com 换#啊 ………………

玛玛,偶的工具全忘记带过来了，要重新找呃
……

这就是这个木马运行时的窗口（若不继续操作，不会中招。）