Process Monitorで挙動を解析する
Process Monitor
Process Monitor - Windows Sysinternals | Microsoft Docs
参考書籍 : たのしいバイナリの歩き方
・フィルターでsample_mal.exeの動作を見る
・CreateFile, WriteFile, CloseFileが呼び出されていることを確認する
・レジストリアクセスを確認する
解析結果より
スタートアップにプログラムがコピーされていることと、
RegSetValueで
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
にプログラムが登録されている事がわかる。