第一步，准备一个虚拟机
准备虚拟机的目的是，可以方便的反复观察病毒的运行破坏轨迹，可以不断地存档破坏时刻的状态。
详尽VMware教程http://bbs.duba.net/thread-22659346-1-1.html  
http://www.duote.com/tech/1/929.html
第二步，准备一个或几个监控软件
注册表快照工具
http://d.1tpan.com/tp2142939527  （中文版）
http://guoda.me/regshot.zip

Procemon
http://d.1tpan.com/tp1332878824  (中文版)
http://live.sysinternals.com/Procmon.exe
详细教程：
攻防测试工具]系统监控必备工具procexp和procmon
http://bbs.duba.net/thread-22663534-1-1.html

MD(HIPS)
http://d.1tpan.com/tp0657698215                (中文版)
http://d.1tpan.com/tp1265114069
详细教程
[转帖][攻防测试工具]MalwareDefender MD(HIPS)基础教程及应用详细
http://bbs.duba.net/thread-22663543-1-1.html


Autoruns 
http://d.1tpan.com/tp1626553969                （中文版）
http://live.sysinternals.com/autoruns.exe
详细教程
[转帖][攻防测试工具]Autoruns详尽使用教程
http://bbs.duba.net/thread-22663554-1-1.html


xuetr官方
http://d.1tpan.com/tp0157929236                 （中文版）
http://xuetr.com/download/XueTr.zip
详细教程：
[转帖][攻防测试工具]xuetr
http://bbs.duba.net/thread-22663754-1-1.html


PowerTool
http://d.1tpan.com/tp1433507441                    （中文版）
http://d.1tpan.com/tp1103958035

WINHEX
http://d.1tpan.com/tp1412662439（中文版）

第三步，准备一个最新的毒霸包
http://bbs.duba.net/thread-22668701-1-1.html[url=http://bbs.duba.net/thread-22648613-1-1.html][/url]

对于有些同学看不懂英文的工具，下面提供汉化版的：
Autoruns:http://d.1tpan.com/tp1626553969

ProcessMonitor:http://d.1tpan.com/tp1332878824

procexp：http://d.1tpan.com/tp0895086425

MD(HIPS)：http://d.1tpan.com/tp0657698215

XueTr:http://d.1tpan.com/tp0157929236

PowerTool:http://d.1tpan.com/tp1433507441

WinHex:http://d.1tpan.com/tp1412662439

From：http://bbs.duba.net/thread-22653422-1-1.html