1、释放文件占用进程对比
    无论是“冰河”木马还是“熊猫烧香”病毒，两者均会在硬盘上释放出文件，并且将这些文件自动加载到系统进程中。

    ①“熊猫烧香”的病毒文件和进程
    感染了“熊猫烧香”病毒之后，硬盘根目录及系统目录下会释放出以下几种典型的文件：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe。工作在局域网的机器如果感染了“熊猫烧香”病毒，硬盘中还可以看到一个名字为“GameSetup.exe”的文件，这是“熊猫烧香”病毒的传播文件。另外，“熊猫烧香”病毒还会在注册表中加载相关的键值，致使病毒一开机就自动运行。

图一 熊猫烧香病毒示例

    熊猫烧香病毒在注册表中的加载位置：
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]"FuckJacks"="%System%＼FuckJacks.exe

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersionRun]
"svohost"="%System%＼FuckJacks.exe

    ②“冰河”木马的病毒文件和进程
    与“熊猫烧香”一样，如果用户的计算机中感染了“冰河”木马，同样会在硬盘中释放出文件，并且加载到进程中。“冰河”木马生成的两个文件位于%System%system目录下，名字为Kernel32.exe和sysexplr.exe，其中Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使用户删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

图二 冰河木马控制端界面

    冰河木马在注册表中的加载位置：

    HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Run
    HKEY_LOCAL_ MACHINE\software\microsoft\Windows\Current Version\Runservices

    通过以上的对比不难发现，“冰河”木马与“熊猫烧香”病毒一样，都会在硬盘上释放相关的文件，并且会把相应的程序加载到注册表中使其自行启动。在“熊猫烧香”和“冰河”木马加载的进程都有一定的隐蔽性，与系统的一些常用进程相似。除本质相同之外，“熊猫烧香”和“冰河”木马两者在破坏能力方面，也不相上下。