你们是用什么软件来分析病毒在注册表里改了啥在分区里建了什么文件呀

我也想搞个玩玩

比如
释放文件
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\spoolsv.exe
C:\pass.dic
F:\1.ico

C:\WINDOWS\system32\Death.SiShen
内容为
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe

创建启动项
[software\microsoft\windows\currentversion\run]
什么都没写入..

修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

所有根目录及移动存储生成
X:\autorun.inf
X:\death.exe
[autorun]
\n\nopen=death.exe
\n\nshellexecute=death.exe
\n\nshell\auto\command=death.exe

尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006：实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
防火墙
tform1
噬菌体
木马克星

尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
====

尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006：实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
防火墙
tform1
噬菌体
木马克星

尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
====

通过反汇编得到

释放文件
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\spoolsv.exe
C:\pass.dic
F:\1.ico

C:\WINDOWS\system32\Death.SiShen
内容为
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe

创建启动项
[software\microsoft\windows\currentversion\run]
什么都没写入..

修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
通过注册表监控或者文件监控软件得到

反汇编
有点意思

学学去

该用户帖子内容已被屏蔽