%Program Files%WireShark
awshark.exe（WireShark監(jiān)控程序）

%Program Files%Etherealethereal.html（一款免費(fèi)的網(wǎng)絡(luò)協(xié)議檢測(cè)程序）

%Program Files%Microsoft Network Monitor 3
etmon.exe（微軟的Microsoft Network Monitor 主程序）

該程序會(huì)判斷其第一塊硬盤是否為虛擬設(shè)備來(lái)檢測(cè)其是否運(yùn)行于虛擬機(jī)中，根據(jù)注冊(cè)表的返回值，如果“是”則退出。

更“有趣”的運(yùn)行機(jī)制 ：Spyeye為了避免在注入代碼時(shí)出現(xiàn)不可預(yù)知的錯(cuò)誤而引起系統(tǒng)警告，而將其加入DEP (data execution prevention)的例外列表，因此我們可以通過(guò)以下注冊(cè)表我們可以找到該病毒的蹤跡。不得不說(shuō)，這個(gè)想法實(shí)在是太有意思了，但顯而易見(jiàn)的是，用戶們并不喜歡它隱藏的這么深。

更精密的偽裝手段：為了逃避檢測(cè)以及獲取信任，Sypeye變種偽造了Avira的數(shù)字簽名，我們可以從數(shù)字簽名信息中看到，然而因?yàn)槭莻卧斓?，所以這份證書是不受信任的。

liukai