8. 重新进入Windows，同时，激发病毒文件

注意：先将病毒文件放入磁盘，拔掉U盘，拔掉网线，再激发！

9. 重复3,4,5,6,7步骤

mkdir /mnt/hdd1

mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

mkdir /mnt/usb

mount -t vfat /dev/sda1 /mnt/usb

cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)

cd /mnt/usb/test

./parseWinReg 2.reg newreg

rm /mnt/hdd1/pagefile.sys

/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

10. 至此，我们得到了原始的系统信息：origreg, origfile，中病毒之后的信息：newreg, newfile

11. 比较文件不同之处：diff -Nur origfile newfile > filediff

12. 比较注册表不同之处：diff -Nur origreg newreg > regdiff

13. 分析filediff 和 regdiff，得到结论

分析小技巧：一般情况下前面出现+的就是病毒释放的，-就是有过改动的（感染的），如果是md5值是成双成对出现(一个+和一个-)，那那一行一般不是,如果前面没有任何标记，那说明也不是。咱们把没用的删除，只留下有单个+或者单个-的，最好看文件路径，即得到了病毒的产生文件或者是感染文件。