專利摘要:
本發明係有關於一種調查潛伏程式(lurking program)案件之輔助方法,持續監控一電腦系統所執行之複數行程,針對每個被監控的行程,記錄它的出生與結束的行程啟動關係資料,並持續監控該電腦系統之一系統註冊資料庫,記錄程式的自啟動註冊資料,然後關聯所產生行程啟動關係資料與自啟動註冊資料,產生及記錄行程啟動關係日誌,並從中萃取出及記錄疑似潛伏程式之高階關鍵資訊。應用本發明方法僅需蒐集很少量的高階關鍵資訊與行程啟動關係日誌,以及僅使用少量之系統資源,但可提供明確的佐證資料,輔助潛伏程式案件之調查工作,節省大量的低階日誌的蒐集與分析工作的時間與人力成本。