程序行为记录和跟踪.docVIP

程序行为记录与跟踪 在安全网上逛的时候，突然发现一篇很好的文章！详细阐述了当前流行的api hook技术，rootkit技术和主动防御技术，涉及到深入的操作系统知识，需要一定的功底才能看懂，真的很不错，可以说是一篇难得的教程！现摘选如下： 一. 黑匣子的原理  对于一般用户而言，一个程序从开始运行直到结束，这期间内都做过什么，并不是我们需要关心的事情，他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了，有谁会去关心从用户点击播放器程序图标到音乐响起的时间里，这个程序具体做了什么事情呢？然而，如果面对的程序是恶意软件之流，用户就不得不关心一下它到底对自己的计算机造成什么影响了。 程序在运行期间所进行的操作被称为“程序行为”（Action），一般泛指程序进行的相对表现较明显的操作，例如创建读写文件、访问注册表、连接网络等，而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的，除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”（Tracing），如果要进一步深入，则要使用调试器（Debugger）环境进行汇编级的指令分析，这就是“调试”（Debugging），也可视为更全面的跟踪，因为调试过程可观察到整个程序