pcapd.exe(WinPcap驅(qū)動程序,部分監(jiān)控工具基于此開發(fā))
%Program Files%WireShark
awshark.exe(WireShark監(jiān)控程序)
%Program Files%Etherealethereal.html(一款免費的網(wǎng)絡協(xié)議檢測程序)
%Program Files%Microsoft Network Monitor 3
etmon.exe(微軟的Microsoft Network Monitor 主程序)
該程序會判斷其第一塊硬盤是否為虛擬設備來檢測其是否運行于虛擬機中,根據(jù)注冊表的返回值,如果“是”則退出。
更“有趣”的運行機制 :Spyeye為了避免在注入代碼時出現(xiàn)不可預知的錯誤而引起系統(tǒng)警告,而將其加入DEP (data execution prevention)的例外列表,因此我們可以通過以下注冊表我們可以找到該病毒的蹤跡。不得不說,這個想法實在是太有意思了,但顯而易見的是,用戶們并不喜歡它隱藏的這么深。
更精密的偽裝手段:為了逃避檢測以及獲取信任,Sypeye變種偽造了Avira的數(shù)字簽名,我們可以從數(shù)字簽名信息中看到,然而因為是偽造的,所以這份證書是不受信任的。