1.一種基于內存保護類型監控的惡意代碼跟蹤識別方法，其特征在于：其步驟如下：

步驟1：將技術人員開發的動態鏈接庫注入到目標進程中；

步驟2：在目標進程中申請向量化異常處理函數，用于接管目標進程中所發出的異常并對該異常環境進行分析，分析流程包含以下步驟；

步驟2-1：等待當前進程發生的異常事件，過濾訪問違規之外的異常信息，并與收集的參數環境比對異常信息；

步驟2-2：如果步驟2-1比對信息成功，備份保留此段內存，并在此內存范圍內做靜態規則匹配；

步驟2-3：若靜態規則匹配失敗，則從異常發生的地址動態模擬解析并執行該段內存代碼，做動態行為分析；

步驟2-4：根據步驟2-3的返回結果，最終輸出本次的檢測結論，如果為惡意代碼，給出提示并退出執行過程；

步驟3：獲取系統指定動態鏈接庫中針對與修改內存保護屬性的接口函數地址，劫持其執行流程到技術人員開發的動態鏈接庫中；

步驟4：在保護程序的運行周期中監控所有關于此接口的調用流程，初步檢測調用的合法性，如果不合法，進入步驟9；

步驟5：通過初步的合法性檢測后，判斷參數中是否包含執行屬性標志；

步驟6：針對修改內存保護屬性為可執行屬性的接口函數調用，清除可執行屬性標志；

步驟7：記錄本次接口函數調用的參數環境；

步驟8：調用原始接口函數，使程序正常運行；

步驟9：報告發現漏洞攻擊即exploit；

在步驟2-2中所述的“如果步驟2-1比對信息成功，備份保留此段內存，并在此內存范圍內做靜態規則匹配”，其作法如下：如果異常發生的地址位于記錄的數據區間中，保留即dump本段內存到本地，并對該段內存數據進行符合惡意代碼即shellcode模式的靜態搜索。