对windows的可疑程序进行测试

起因

有很多的程序，尤其是windows上面的，有的破解后的程序基本上都带有一些可疑的功能，要么是释放一些广告，要么是留有后门，要么是在注册表中添加一些不相干的东西。

所以对一些程序的测试需要下面的工具和环境。

原文见这里：Dynamic Analysis of Watchdog spyware

环境

一般使用vmware的fusion，对于个人来说是免费的，只要申请一个序列号就可以。当然其他的像vbox的也没问题。

用虚拟机的主要目的是为了可以快速恢复，利用snapshot的功能，初现问题，可以很快的恢复到之前的状态。

必备的应用

• 注册表快照

Regshot is an open-source (LGPL) registry compare utility that allows you to quickly take a snapshot of your registry and then compare it with a second one - done after doing system changes or installing a new software product.

https://sourceforge.net/projects/regshot/

• Capture BAT

Capture BAT provides a powerful mechanism to exclude event noise that naturally occurs on an idle system or when using a specific application. This mechanism is fine-grained and allows an analyst to take into account the process that cause the various state changes. As a result, this mechanism even allows Capture to analyze the behavior of documents that execute within the context of an application, for example the behavior of a malicious Microsoft Word document.

https://www.honeynet.org/projects/old/capture-bat/

• wireshark

这个是用来做网络抓包的。在使用虚拟机的时候，抓包，最好可以使用映射端口的形式。这样比较清晰一些。