利用Windows PE研究電腦木馬的行為的方法

電腦木馬越來越多，隨著各類木馬修改技術的出現，木馬專殺工具也經常無能為力。單純依靠殺毒軟體和木馬清除軟體越來越不可靠了。
但是，電腦木馬大部分都有幾個顯著的特點： 
1。電腦木馬很少修改系統中原來已經存在的檔案的內容。即使修改，也僅僅修改有限幾個檔案。
2。電腦木馬為了駐留電腦，一般會將自身複製到Windows 的系統檔案夾內。如果能夠準確查出檔案夾內增加的檔案，很容易發現這類木馬
3。電腦木馬通常也會修改系統註冊表的一些關鍵索引值。如果能夠檢測出系統註冊表的內容變化情況，也有助於發現木馬

一般說來，如果能夠準確地找出木馬對檔案系統的更改情況和對註冊表的更改情況，藉助於Windows PE，就可以安全地清除這些木馬了

如何才能準確地找出這些木馬對系統的修改情況呢？一種方法是利用Regsnap等系統快照建立工具。這種方法比較簡單易行。但是，現在有些木馬應用了檔案隱藏技術，使得調用Windows API來查詢檔案時無法找到這些木馬檔案。

另一種方法是利用Windows PE來輔助檢測。這種方法比使用Regsnap要複雜，但是準確性更高。

首先，準備一台實驗用的機器。這台機器不要安裝重要軟體。在我們的實驗結束之後，這台機器就不再重要了。如果沒有條件獲得一台專用的實驗用機，也可以使用vmware這類虛擬機器。在這個機器上安裝必要的系統軟體。