请问，如何监控某一软件的动作

穿越星空

　　补充介绍两类：前后快照对比和实时跟踪。
　　前后快照对比可以使用RegSnap（注册表）、RegShot（注册表）、Uninstall Manager（文件）、Total Uninstall（综合）、完美卸载（综合）、InstallWatch（综合）。
　　实时跟踪可以使用FileMon（文件）、RegMon（注册表）、ProcMon（综合）。

1e3e

HIPS

Lgwu

提供给你一个简单的工具：InCtrl5

自己百度搜索汉化版吧。附段使用说明给你：

监控病毒行为：

　　打开InCtrl5，安装程序选中1188.exe ，这里其它项都保持默认。点开始按钮，InCtrl5会对1188.exe进行运行操作，并监测注册表、INI文件、指定文件、指定文件夹、驱动器等等，及保存修改记录。如下图：

　　InCtrl5运行程序完毕后，右上角会出现{Install in progress}，同时{安装完成}按钮会变为可用状态。如下图：

　　点击{安装完成}按钮，会出现提示信息，由于汉化不彻底，这里是英文提示，要补充汉化，需要脱壳，修改资源等，这里不去管它，点{是}按钮，如下图：

　　InCtrl5会重新读取系统信息，记录修改信息。如下图：

　　InCtrl5读取修改信息完毕后，直接弹出报告预览信息，默认是htm格式，为了使报告看起来简洁，修改为txt格式，如下图：

　　点击报告预览界面上的{运行}按钮，以文本文件形式打开报告，如下图：

监控报告分析：

　　扫描报告里面会有详细的信息，这里不再具体分析，只给出扫描报告里面分段信息：

　　注册表新增键值部分：

　　注册表删除键值部分：

　　注册表新增键值数值部分：

　　注册表删除键值数值部分：

　　系统新增文件和文件夹部分：

　　系统内文件被修改信息部分：

　　系统内文件被追加内容信息部分：

　　通过分析报告，我们可以获取到1188在注册表内产生的行为，以及新增、删除、修改的文件、文件夹信息如下：

　　新增注册表键值：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

　　数值： C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Pnkx.exe

　　HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506}

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{E188F7A3-A04E-413E-99D1-D79A45F78506}

　　......

　　新增快捷方式、文件以及文件夹：

　　c:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk

　　c:\Program Files\Internet Explorer\ie\iexplore.exe

　　c:\Program Files\Internet Explorer\ie

　　c:\WINDOWS\system32\Pnkx.exe

　　c:\WINDOWS\system32\Servicex.exe

　　c:\WINDOWS\system32\Com\comadmine.dll

linexp

TotalUninstall


http://www.skycn.com/soft/14341.html

txk9083

首推comodo

zhangsky007

那还是微软的processmon最好，软件的注册表、文件读写全都记录。不过真要用的话，还是相当恐怖。那玩意的记录可是细致啊。HIPS只是监控动作，如果设置成全局文件、注册表保护可以，那样也很恐怖