程序一般只有三个操作:网络、io和注册表。
是不是我们监控这几个功能就可以知道这个程序在干什么呢,可以是可以,只不过只能观察与这三个相关的操作。但是对于一个陌生的程序,根本不知道它里面干了啥的程序这个根本不适用,就是连拍堆栈,即使是微软这种可以链接官方pdb的程序,堆栈也是会看得一头雾水,除非就是手头已经有微软源代码了,比如说我们敬爱的linux就非常不错。微软虽然有一个reactos基本仿写了windows的内核,但是还有很多的微软软件未能有开源项目来模仿,比如ie、vs等,那么我们也就只能望洋兴叹了
