1.1.1 通過 Process Monitor 的日誌來確認程式的行為

• 首先執行sample_mal.exe binarybook/chap01/sample_mal/Release/sample_mal.exe

• 查看 Process Monitor 的日誌，可以發現程式在以下位置進行 \CreateFile 操作 C:\\Documents and Settings\\Administrator\\「開始」功能表\\程式集\\啟動

• 放在「啟動」資料夾的程式，會隨著Windows啟動自動執行。範例程式連續執行了 CreateFile、WriteFile和CloseFile這幾個操作，這相當於在指定資料夾建立並寫入一個名為0.exe的檔案。

• 利用 WinHex 比對0.exe和sample_mal.exe，可發現這兩個檔案內容完全一致，也就是說程式將自己複製了一份。 Tools >> File_Tools >> Compare