1.打开Process Mointor
2.点击filter-->filter 在弹出的对话框中Architecture 下拉框,选择Process Name 填写要分析的应用程序名字。
点击add 最后点击右下角的apply
3.执行被分析的应用,可以看到Process Mointor监控到应用的行为。
在 C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ 路径下创建 0.exe
4.查看结果,存在,并且开机后自启。
5.该程序通过修改注册表实现开机自启动。
右键选择jump to 跳转到注册表,可以看到该程序又在C:\Documents and Settings\Administrator\My Documents\ 创建了 1.exe
windows 自动重启运行的程序可以注册在下列任一注册表的位置。
参考书籍:有趣的二进制【日】爱甲健二