第四步，查看注册表选项

​

查询文件“RegSetValue”

​

右键选择jump to跳转到注册表。

可以看到注册表的内容，如果自启动还能看到相关键对的设置。

Windows自动重启运行的程序可以注册在下列任一注册表的位置。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

AppData\Local\Temp

它是电脑Windows系统临时存储的文件夹，会把浏览者浏览过的网站或者其它记录保存在这里。如果下次打开相应的地址，电脑会更快提取文件，甚至在没有网络时也能查看到。这是不安全的，你保密的文件文件也可能存在该位置，建议及时删除。

WriteFile：写操作，依照文件大小可能产生多条
ReadFile：读操作，一次读会产生很多条
SetAllocationInformationFile：改写文件时触发
SetEndOfFileInformationFile：改写文件时触发
SetRenameInformationFile：重命名时触发
SetDispositionInformationFile：删除文件时触发

分析恶意样本，涉及知识点包括：

• 文件活动行为分析：Procmon监控木马客户端的文件行为
• 注册表活动行为分析：Procmon监控木马客户端的注册表设置值行为
• 网络活动行为分析：Wireshark监控网络行为、TCP三次握手连接、被控端与控制端之间的通信过程

​

CloseFile 文件-关闭

​

CreateFile 文件-创建

​

CreateMailSlot 创建邮件位

​

CreatePipe 创建管道

​

DeviceChange 设备改变

​

DeviceIoControl 设备输入/输出控制

​

FileStreamInformation 文件流信息

​

FileSystemControl 文件系统控制

​

FlushBuffersFile 清空缓冲文件

​

InternalDeviceIoControl 内部设备IO控制

​

Load Image 装载映像

​

LockFile 文件-锁定

​

NotifyChangeDirectory 提示改变目录

​

PlugAndPlay 即插即用

​

Power 电源

​

Process Create 进程-创建

​

Process Defined 进程-定义

​

Process Exit 进程-关闭

​

Profiling interrupt 配置中断？

​

QueryAllInformationFile 查询所有信息文件

​

QueryAttribbuteTagFile 查询属性标签文件

​

QueryAttributeInformationVolume 查询属性信息卷（容量？）

​

QueryBasicInformationFile 查询基本信息文件

​

QueryCompressionInformationFile 查询压缩信息文件

​

QueryControlInformationVolume 查询控制信息卷

​

QueryDeviceInformationVolume 查询设备信息卷

​

QueryDirectory 查询-目录

​

QueryEAFile ？

​

QueryEaInformationFile ？

​

QueryFileInternalInformationFile 查询文件内部信息文件

​

QueryFileQuota 查询文件配额

​

QueryFullSizeInformationVolume 查询全尺寸信息卷

​

QueryInformationVolume 查询信息卷

​

QueryLabelInformationVolume 查询标签信息卷

​

QueryMinorCode49> 查询副编码

​

QueryMoveClusterInformationFile 查询移动簇信息文件

​

QueryNameInformationFile 查询名字信息文件

​

QueryNetworkOpenInformationFile 查询网络开启信息文件

​

QueryObjectIdInformationVolume 查询对象Id信息卷

​

QueryOpen 查询-打开

​

QueryPositionInformationFile 查询位置信息文件

​

QuerySecurityFile 查询安全文件

​

QuerySizeInformationVolume 查询尺寸信息卷

​

QueryStandardInformationFile 查询标准信息文件

​

QueryStreamInformationFile 查询流信息文件

​

ReadFile 文件-读取

​

RegCloseKey 注册表-关闭键

​

RegCreateKey 注册表-创建键

​

RegDeleteKey 注册表-删除键

​

RegDeleteValue 注册表-删除值

​

RegEnumKey 注册表-枚举键

​

RegEnumValue 注册表-枚举值

​

RegFlushKey 注册表-清空键

​

RegLoadKey 注册表-读取键

​

RegOpenKey 注册表-打开键

​

RegQueryKey 注册表-查询键

​

RegQueryKeySecurity 注册表-查询键安全性

​

RegQueryMultipleValueKey 查询多值键

​

RegQueryValue 注册表-查询值

​

RegRenameKey 注册表-重命名键

​

RegSetInfoKey 设置信息键

​

RegSetKeySecurity 注册表-设置键安全性

​

RegSetValue 注册表-设置值

​

RegUnloadKey 卸载键

​

SetAllInformationFile 设置全信息文件

​

SetBasicInformationFile 设置基本信息文件

​

SetDispositionInformationFile 设置部署信息文件

​

SetEAFile ？

​

SetEndOfFileInformationFile 设置文件结尾信息文件

​

SetFileQuota 设置文件配额

​

SetLinkInformationFile 设置连接信息文件

​

SetPipeInformation 设置管道信息

​

SetPositionInformationFile 设置位置信息文件

​

SetRenameInformationFile 设置重命名信息文件

​

SetSecurityFile 设置安全文件

​

SetShortNameInformation 设置短名称信息

​

SetValidDataLengthInformationFile 设置合法数据长度信息文件

​

SetVolumeInformation 设置卷信息

​

Shutdown 关闭

​

SystemControl 系统控制

​

Thread Create 线程-创建

​

Thread Exit 线程-关闭

​

Thread Profile 线程-Profile

​

UnlockFileAll 文件解锁全部

​

WriteFile 文件-写入

​

希望大家可以有所收获！！！

​