主角：ProcessMonitor、虚拟机、木马样本
步骤：
首先运行ProcessMonitor，界面如下

下面要排除干扰因素，把系统的进程排除掉，我一般选用进程PID作为排除依据，在正常进程的PID上面右键，选择Exclude 'XXX'，这样就根据PID把正常进程的行为排除了。一直重复，直到ProcessMonitor里面的内容完全被排除。
下面就可以运行木马样本来分析了。
双击setup.exe，ProcessMonitor里面记录了许多行为，共有3000+个，所以我们还要继续筛选。

这个地方我一般是根据操作作为排除依据。
操作总共分4大类，注册表、文件、网络、进程，工具栏上对应着4个开关。

先看看文件。
把那四个开关，除了第二个，其他都关闭，剩下的内容都是文件操作。
文件操作又分很多种，我们关系的是病毒生成了哪些文件，对应的操作名字是WriteFile，所以在操作那里，把不是WriteFile的统统排除，方法和上面一样。

从图中看以看出，病毒在“C:\WINDOWS\”释放了一个病毒体“abc.exe”
文件分析到此为止。
下面是注册表。
把注册表的开关打开，文件的开关关闭。
同样我们关心的是写注册表的操作，对应的操作名是RegSetValue，将其他的操作排除。

我们看到写操作只有HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed
经过查询，这个地方无关紧要，没什么作用。

至于网络访问，木马一般都是反向连接到黑客的电脑，我们可以通过这个获取黑客电脑IP。


进程监视这里，可以看出木马运行了哪些程序，重点操作是process start。

如图中，总共有两个进程被创建，一个是setup.exe，这个是病毒样本，另一个是abc.exe，这个是释放的病毒体。如果出现了其他程序，就要考虑是不是木马下载了其他木马病毒程序。
至此，木马的所有重要行为都被我们记录下来了，我们可以根据木马对系统的修改从而写出专杀。
对于此木马，我们只要结束进程abc.exe和setup.exe，删除C:\WINDOWS\abc.exe即可完全清除。
希望本文对各位有所帮助。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; 360SE)