承接上次的分析，由于我个人对病毒分析很菜，然后我们这次就用到火绒剑这款工具和IDA来简单的看下病毒的行为，按照下面截图所示 从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作对三处文件做了修改或生成，然后更改了注册表项HEKY_LOCAL MACHINE……，然后又设置http指定到carder.bit设置连接ip为66.171.248.178:80然后我们在载入ida看下导入表， 看到ADVAPI32是高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。下面部分导入函数表的说明