利用动态分析工具检测恶意软件。动态分析是在一个受监视的环境中执行可疑程序，以观察其行为的过程。这种技术能够快速地告诉你恶意程序创建了什么文件、添加哪些注册表项，以及所联系的网站等信息。动态分析通常需要借助相应的工具来实现。这里仅简要介绍工具Process Monitor在恶意软件分析中的基本操作。

Process Monitor是一种基于API钩子和通知例程的变化检测工具。它可以记录与文件系统、注册表、网络、进程、线程有关的活动的详细信息。Process Monitor通过：① 加载一个内核驱动程序来拦截某些函数的调用；② 使用Windows事件追踪（ETW）机制来捕获网络活动；③ 使用通知例程来监视进程和线程的活动。

要监视可疑的程序，你应该在一个封闭的环境中运行它，以避免它感染正常的系统。常用的做法是使用虚拟机作为封闭的环境。操作过程如下：

（1）在VMware Workstation启动一台Windows 7虚拟机，把可疑的程序和Process Monitor复制进去。

（2）在虚拟机中先启动Process Monitor，如图4-11所示。其窗口中显示的是它捕获的各种事件。

图4-11　Process Monitor主界面

（3）运行可疑程序。作为演示，我们使用了一个模拟的恶意程序，名字叫作Virus.exe。在虚拟机中运行该程序。

（4）单击Process Monitor界面中的Filter工具，显示过滤设置窗口，如图4-12所示。将Architecture改为Process Name，然后单击文本输入框右侧的下箭头按钮，选择Virus.exe。单击Add按钮，表示仅监视Virus.exe进程，如图4-13所示。

（5）单击“OK”按钮，此时Process Monitor窗口中只显示Virus.exe的有关活动，如图4-14所示。可以放大窗口以显示更多信息，也可以单击通过窗口右边的4个按钮，选择性地查看特别关心的事件，如这个程序在文件系统中的活动，如图4-15所示。经分析发现，这个程序尝试修改系统文件夹System32下的多个dll文件，但未成功。但是它成功感染了和它位于同一个文件夹下的Windows的记事本程序notepad.exe，如图4-16和图4-17所示，使这个程序文件的大小从189 KB增加到193 KB。

图4-12　设置Process Monitor过滤器（1）(www.daowen.com)

图4-13　设置Process Monitor过滤器（2）

图4-14　Process Monitor窗口仅显示Virus.exe的活动

图4-15　Process Monitor窗口仅显示Virus.exe的文件活动

图4-16　Virus.exe修改了notepad.exe文件

图4-17　notepad.exe文件长度增加了