某绒面试的病毒分析（二）

分析系列二，由于我个人对病毒分析也不行，然后我们这次就用到火绒剑这款工具和ida来简单的看下病毒的行为，按照下面截图所示

从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作

对三处文件做了修改或生成，然后更改了注册表项HEKY_LOCAL MACHINE……，

然后又设置http指定到carder.bit 设置连接ip为66.171.248.178:80

然后我们在载入ida看下导入表，看到

ADVAPI32是高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。

而微软关于reportevent的解释如下

下面是一些简单的windowsapi的解释说明