请问，如何监控某一软件的动作

提供给你一个简单的工具：InCtrl5自己百度搜索汉化版吧。附段使用说明给你：监控病毒行为： 打开InCtrl5，安装程序选中1188.exe ，这里其它项都保持默认。点开始按钮，InCtrl5会对1188.exe进行运行 *** 作，并监测注册表、INI文件、指定文件、指定文件夹、驱动器等等，及保存修改记录。如下图： InCtrl5运行程序完毕后，右上角会出现{Install in progress}，同时{安装完成}按钮会变为可用状态。如下图： 点击{安装完成}按钮，会出现提示信息，由于汉化不彻底，这里是英文提示，要补充汉化，需要脱壳，修改资源等，这里不去管它，点{是}按钮，如下图： InCtrl5会重新读取系统信息，记录修改信息。如下图： InCtrl5读取修改信息完毕后，直接d出报告预览信息，默认是htm格式，为了使报告看起来简洁，修改为txt格式，如下图： 点击报告预览界面上的{运行}按钮，以文本文件形式打开报告，如下图：监控报告分析： 扫描报告里面会有详细的信息，这里不再具体分析，只给出扫描报告里面分段信息： 注册表新增键值部分： 注册表删除键值部分： 注册表新增键值数值部分： 注册表删除键值数值部分： 系统新增文件和文件夹部分： 系统内文件被修改信息部分： 系统内文件被追加内容信息部分： 通过分析报告，我们可以获取到1188在注册表内产生的行为，以及新增、删除、修改的文件、文件夹信息如下： 新增注册表键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 数值： C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Pnkx.exe HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{E188F7A3-A04E-413E-99D1-D79A45F78506} ...... 新增快捷方式、文件以及文件夹： c:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk c:\Program Files\Internet Explorer\ie\iexplore.exe c:\Program Files\Internet Explorer\ie c:\WINDOWS\system32\Pnkx.exe c:\WINDOWS\system32\Servicex.exe c:\WINDOWS\system32\Com\comadmine.dll

WinPatrol也叫“Windows Watch Dog”，是一款出色的网络安全工具，能及时的发现蠕虫病毒、广告软件、间谍软件、cookies、木马程序以及

其它能攻击你电脑的恶意病毒。如果发现病毒，该程序会及时隔离，无需即时更新。它能告诉你那些程序是得到你允许的，而那些又是违法运行的。从而有效的保护你的电脑免受其他恶意程序的破坏。强烈推荐！！！！！

通过微软的ProcessMonitor可以监控软件

Process Monitor是来自微软官方的一款高级监视工具，可以实时监控、报告Windows文件系统、注册表、进程、线程的活动。

从界面上看，Process Monitor很像是被微软收购了的Sysinternals的Filemon和Regmon，但事实上它是完全重写的，并在Filemon和Regmon的基础上进行了增强，比如监视进程线程的启动和退出及其载入的DLL文件和内核驱动程序、丰富的非破坏性过滤、会话ID和用户名等大量的事件属性、可靠的进程信息、全面的线程堆栈、同步记录到日志文件、分析进程关系、可删除性搜索等等。

这些特性令Process Monitor成为一款强有力的系统诊断以及恶意软件捕捉工具。

Process Monitor支持Windows 2000/XP/Server 2003/Vista等系统，包括64-bit版本。

下载地址：http://download.sysinternals.com/Files/ProcessMonitor.zip

使用教程和介绍：http://tech.163.com/digi/08/0627/10/4FEGR6HL00162OUT.html

http://technet.microsoft.com/zh-cn/sysinternals/bb896645(en-us).aspx

---