公司放假的前两天，我从朋友那里得到金猪病毒样本，因为忙的缘故，我在公司就测试了一下，后来放假后觉得还缺少了点东西，今天中午（年初一）过去朋友那里借朋友的机器——再测试了一次（自己的那台老古董我想测试过程一定卡死要到砸电脑的地步），晚上回来没有事情做，就坐下来把我的测试过程整理下，写出来，但还觉得还缺少测试些什么的，就年初二晚上再过去朋友那里继续测试，再整理，年初三早上，在我的博客上公布出来。希望对各位有所帮助，虽然制作病毒者已经被抓起来，我现在才写出本文有放马后炮之嫌，但这是由于忙以及没拿到样本的缘故，并且我觉得我的测试过程对监视跟踪现有的病毒木马有通用的功效（呵呵，又有打广告嫌疑拉）。
首先配置好SSM+Tiny，加上一个影子系统，还有就是在公司测试的系统是Windows 2003，在朋友那里是XP――环境就这么多。
首先我配置的变态些，所有的盘（包括系统盘）都不允许写、修改权限，只有读的权限（这些是在Tiny里配置），发现病毒文件会释放出一个文件，比如本例释放出一个(非常好用的PDF阅读绿色免费版)FoxitReader.exe.exe，后来测试这个文件就是没有感染之前的可以正常的文件，假如这个没有释放成功的话，病毒样本文件进程很快就会跟着死掉， 如下图：

图片1
第二次测试，我配置系统盘可读可写，完全控制的权限，其他盘只读权限，系统盘用影子系统保护，发现病毒文件释放出文件非常好用的PDF阅读绿色免费版)FoxitReader.exe.exe成功后，接着列举病毒文件所在目录下的所有文件，再在C:\Documents and Settings\Administrator\Local Settings\Temp临时文件目录只生成一个文件，类似68$$.bat之类的，名字会动态变化。具体如下图：

[1] [2] [3] [4] [5] [6] 下一页