提供给你一个简单的工具:InCtrl5自己百度搜索汉化版吧。附段使用说明给你:监控病毒行为: 打开InCtrl5,安装程序选中1188.exe ,这里其它项都保持默认。点开始按钮,InCtrl5会对1188.exe进行运行操作,并监测注册表、INI文件、指定文件、指定文件夹、驱动器等等,及保存修改记录。如下图: InCtrl5运行程序完毕后,右上角会出现{Install in progress},同时{安装完成}按钮会变为可用状态。如下图: 点击{安装完成}按钮,会出现提示信息,由于汉化不彻底,这里是英文提示,要补充汉化,需要脱壳,修改资源等,这里不去管它,点{是}按钮,如下图: InCtrl5会重新读取系统信息,记录修改信息。如下图: InCtrl5读取修改信息完毕后,直接弹出报告预览信息,默认是htm格式,为了使报告看起来简洁,修改为txt格式,如下图: 点击报告预览界面上的{运行}按钮,以文本文件形式打开报告,如下图:监控报告分析: 扫描报告里面会有详细的信息,这里不再具体分析,只给出扫描报告里面分段信息: 注册表新增键值部分: 注册表删除键值部分: 注册表新增键值数值部分: 注册表删除键值数值部分: 系统新增文件和文件夹部分: 系统内文件被修改信息部分: 系统内文件被追加内容信息部分: 通过分析报告,我们可以获取到1188在注册表内产生的行为,以及新增、删除、修改的文件、文件夹信息如下: 新增注册表键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 数值: C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Pnkx.exe HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{E188F7A3-A04E-413E-99D1-D79A45F78506} ...... 新增快捷方式、文件以及文件夹: c:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk c:\Program Files\Internet Explorer\ie\iexplore.exe c:\Program Files\Internet Explorer\ie c:\WINDOWS\system32\Pnkx.exe c:\WINDOWS\system32\Servicex.exe c:\WINDOWS\system32\Com\comadmine.dll
希望对大家有所帮助~记得给up三连哦~关注up,更多精彩教程正在路上~
HIPS、墨者病毒追踪助手、本区陈辉大牛的病毒诊断分析程序
补充介绍两类:前后快照对比和实时跟踪。 前后快照对比可以使用RegSnap(注册表)、RegShot(注册表)、Uninstall Manager(文件)、Total Uninstall(综合)、完美卸载(综合)、InstallWatch(综合)。 实时跟踪可以使用FileMon(文件)、RegMon(注册表)、ProcMon(综合)。
那我就不知道了,我也想知道一个软件究竟做了什么。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024