实验：逆向分析sample_mal.exe文件

1.双击运行文件，出现如下窗口内容

2.关闭窗口，把.exe文件放在IDA中进行分析

3.打开之后页面如下

4.call表示调用函数，这里调用了4个函数，其中SHGetSpecialFolderPathA函数，用于检索特定文件夹的路径。push offset String2 ; "10.exe”:这是将字符串“1:0.exe”推入堆栈的操作。这个字符串可能是一个文件名或路径。

5.在ida中双击运行0.exe

6.使用Process Monitor对文件和注册表进行检测，发现文件sample_mal.exe文件运行之后创建了一个文件。

7.打开路径，发现它创建了一个文件名为0.exe的文件

8.双击该文件，出现了源文件一样的内容

9.将源文件和创建之后的文件放在编辑器里比较，发现他们的内容是一样，说明：该sample_mal.exe程序在运行之后会执行复制操作。