1.打開Process Mointor
2.點擊filter-->filter 在彈出的對話框中Architecture 下拉框,選擇Process Name 填寫要分析的應用程序名字。
點擊add 最后點擊右下角的apply
3.執行被分析的應用,可以看到Process Mointor監控到應用的行為。
在 C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\ 路徑下創建 0.exe
4.查看結果,存在,並且開機后自啟。
5.該程序通過修改注冊表實現開機自啟動。
右鍵選擇jump to 跳轉到注冊表,可以看到該程序又在C:\Documents and Settings\Administrator\My Documents\ 創建了 1.exe
windows 自動重啟運行的程序可以注冊在下列任一注冊表的位置。
參考書籍:有趣的二進制【日】愛甲健二