样本分析实例
样本是一个伪装成wmv媒体文件的可执行文件，如图：

它使用了wmv文件的图标，由于Windows默认不显示已知文件的扩展名，因此目标样本的真实名字是WR.wmv.exe。
分析流程：
1）测试环境做一个恢复用的快照(Snapshot)，使用体机的测试环境可以用Ghost来达到相同目的。
2）依次启动InstallRite和ProcessMonitor，先给ProcessMonitor做Filter配置：

配置时用exclude方式将与目标样本无关的程序如csrss.exe、installrite.exe等程序对注册表的操作过滤，只留下explorer.exe、services.exe、svchost.exe等目标样本可能使用到的程序。
使用InstallRite对系统状态做一个快照：

注：在使用InstallRite做快照的时候可以先把ProcessMonitor的监视暂停。
3）运行目标样本
4）ProcessMonitor的监视显示目标样本运行时启动了Iexplore.exe和svchost.exe：

用InstallRite对目标样本执行前后的系统状态进行对比，在InstallRite的界面选ReviewInstallation查看对比的结果：
新增的文件：

新增的注册表项：

删除的文件：

目标样本在C:\programfiles\CommonFiles\MicrosoftShared\Msinfo路径下新建了2个文件，paramstr.txt和svchost.exe，并添加了一个叫做Svchost的服务。完成这两个操作之后，目标样本把自身删除。

共2页: 1 [2] 下一页