01 病毒的自启动行为

 （很久以前的学习记录，放到博客上来）

 

 

从github上下载了个exe来学习，下载在了F盘，exe运行，如图一下就被360 safe 截住了，我给它放行了。

直接到C盘下的Startup目录下了，想要开机自启动。


这时候用Procmon查看进程信息，哗啦啦起来一大片：












 先是ngen.exe在RegQueryValue,RegQueryKey动作，把注册表一顿查等等，然后关键的地方来了：CreateFile 创建文件了！创建在了C:Users\asus\AppData\Roming\Microsoft\InputMethod.......
和360 safe 显示的貌似有点不太一样，我纳闷了。
于是在C盘下去找360 safe提示的这个0.exe,路径C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
发现Window10 下的 AppData, Start Menu,Startup这三个目录都被隐藏了，手动输入了路径（有点麻烦...）顺利找到了它。

这里更重要的是，生成了0.exe后，原来的那个exe从F盘消失了。





360 safe都已经给我讲明了，这个0.exe就是想要开机运行起来，于是我直接重启计算机了，坐等它自动运行起来，然而：

 

Window10 又给直接拦截死了（真是难于上青天...）
 
然后我再用WinHex 来compare了一下两个exe文件（重新在github上下载了一次），结果：

（由于Window10隐藏文件夹的，而这里选择 Data source的 Commobox又不让我手动输入路径，所以只好在原来C盘里的0.exe拷贝到了G盘下.....😞）




两个文件是 No Differences的！

相当于把自己直接给搬过去了。

今天先到这里吧，下手的时候时间就有点晚了，明天再开始尝试逆向这个exe。

告辞！