Process Monitor
Process Monitor - Windows Sysinternals | Microsoft Docs

参考書籍 : たのしいバイナリの歩き方

・フィルターでsample_mal.exeの動作を見る

・CreateFile, WriteFile, CloseFileが呼び出されていることを確認する

・レジストリアクセスを確認する

解析結果より
スタートアップにプログラムがコピーされていることと、
RegSetValueで
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
にプログラムが登録されている事がわかる。