我强烈建议在沙盒等人工环境中运行该病毒，这样您就不会影响您的个人计算机！通过这种方式，您可以通过特定于沙盒的 CLI/GUI 跟踪其活动。

沙盒示例：Cuckoo Sandbox、Sandboxie 等。

另一种方式：

使用虚拟环境测试恶意软件并手动跟踪其活动。

在事实之后？除非你有完整的出口日志记录和被入侵系统的远程审计文件，否则它也不是 100% 可靠的。

如果您想知道病毒的作用，总会有像 Cuckoo 这样的恶意软件分析器。

不清楚您是否正在计划如何执行此操作，以防万一您感染了病毒或已经感染了病毒并且您想要进行事件响应，或者您是否想到了病毒并希望观察它的工作。

你有一些免费的工具可以做到这一点，但如果你不精通这些工具，你就会失败。因此，真正的答案是“在尝试使用这些工具进行事件响应之前，先熟练掌握这些工具”。我所说的“精通”是指您可以快速过滤掉“正常”的内容，以便发现异常。尝试这样做可以成为精通这些工具的一种方式，但不要指望在学习的同时取得成功。
如果病毒具有管理员权限，则可能导致这些工具不可靠。
我正在考虑的工具是...

1. Windows 事件日志：这是对所发生事件进行取证重建的第一站。我的意思不是“可用作证据”中的“法医学上的声音”。 Sans 阅览室中的这篇论文详细介绍了使用 Windows 事件日志的一些方法，包括从非标准路径运行的常见可执行文件和进程的拼写错误。
2. Netstat：如果通信正在进行，Netstat 可以识别正在与恶意主机通信的进程。
3. 进程监视器：查看上述进程正在执行的操作。如果您想事后学习，这将没有用。
4. Wireshark：分析这个病毒的包级通信。这些 TCP 数据包中包含什么？它使用什么技术绕过安全控制并避免检测？以这种方式使用 Wireshark 的一个很好的灵感来自于 Wireshark 会议上的精彩演示。是的，时长超过 1 小时，但值得。

还有很多我不知道的恶意软件分析工具。

看看以下网站： https ://www.hybrid-analysis.com/

您可以将文件提交到系统，并可以得到详细的报告。