请问，如何监控某一软件的动作

提供给你一个简单的工具：InCtrl5自己百度搜索汉化版吧。附段使用说明给你：监控病毒行为： 打开InCtrl5，安装程序选中1188.exe ，这里其它项都保持默认。点开始按钮，InCtrl5会对1188.exe进行运行 *** 作，并监测注册表、INI文件、指定文件、指定文件夹、驱动器等等，及保存修改记录。如下图： InCtrl5运行程序完毕后，右上角会出现{Install in progress}，同时{安装完成}按钮会变为可用状态。如下图： 点击{安装完成}按钮，会出现提示信息，由于汉化不彻底，这里是英文提示，要补充汉化，需要脱壳，修改资源等，这里不去管它，点{是}按钮，如下图： InCtrl5会重新读取系统信息，记录修改信息。如下图： InCtrl5读取修改信息完毕后，直接d出报告预览信息，默认是htm格式，为了使报告运枣看起来简洁，修改为txt格式，如下图： 点击报告预览界面上的{运行}按钮，以文本文件形式打开报告，如下图：监控报告分析： 扫描报告里面会有详细的信息，这里不再具体分析，只给出扫描报告里面分液做段信息： 注册表新增键值部分： 注册表删除键值部分： 注册表新增键值数值部分： 注册表删除键值数值部分： 系统新增文件和文件夹部分： 系统内文件被修改信息部分： 系统内文件被闹悄衡追加内容信息部分： 通过分析报告，我们可以获取到1188在注册表内产生的行为，以及新增、删除、修改的文件、文件夹信息如下： 新增注册表键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 数值： C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Pnkx.exe HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{E188F7A3-A04E-413E-99D1-D79A45F78506} ...... 新增快捷方式、文件以及文件夹： c:\Documents and Settings\Administrator\桌面\Internet Explorer.lnk c:\Program Files\Internet Explorer\ie\iexplore.exe c:\Program Files\Internet Explorer\ie c:\WINDOWS\system32\Pnkx.exe c:\WINDOWS\system32\Servicex.exe c:\WINDOWS\system32\Com\comadmine.dll

process

monitor就行（它相当于以前的文件监控用的filemon加注册表监控和培regmon的合集）

，用这个软件可以监控旁缺到其它软件在运行时访问的各种文件和注册表，也可以针对性的只过滤出某一类 *** 作，运棚辩比如仅仅只限写入。

---