1.一種基于虛擬機自省技術的API動態監控方法，其步驟包括：

1)策略加載模塊讀取并解析設定的監控策略配置文件，獲取所需監控的API以及API所屬的動態鏈接庫DLL；其中，策略加載模塊讀取并解析設定的監控策略配置文件的方法為：

1-1)讀取監控策略配置文件，獲取所需監控的API及所屬的動態鏈接庫DLL；

1-2)初始化需監控API與其地址及狀態的第一哈希表，初始化所需監控的API與其所屬的動態鏈接庫DLL的第二哈希表；

1-3)根據當前操作系統內核文件ntoskrnl.exe對應的程序數據庫文件PDB，獲取操作系統進程鏈的頭節點地址，進程鏈的每個節點對應一個EPROCESS結構體，每個EPROCESS結構體對應操作系統中的一個進程，EPROCESS結構體內部包含進程的進程ID、進程頁目錄表基址、進程名和磁盤文件存儲位置信息；

1-4)在EPROCESS結構體中根據被監控操作系統EPROCESS成員偏移查找該EPROCESS結構體對應進程的PEB結構體；

1-5)從進程的PEB結構體按照被監控操作系統PEB成員偏移找到進程的PEB_LDR_DATA結構體；

1-6)遍歷PEB_LDR_DATA雙向鏈表，取出已映射到當前進程中的各DLL的虛擬基址；

1-7)對已映射入操作系統內存的DLL，查詢所述第二哈希表尋找所需監控的API函數，然后根據程序數據庫文件PDB獲取API函數相對于DLL基址的偏移；將此偏移加上API函數所屬DLL的虛擬基址，得到所需監控API函數的虛擬地址并對該API函數進行監控；

1-8)若監控成功，則更新該API函數的狀態與地址；若不成功則保持原有狀態不變；

2)遍歷已加載到系統內存的動態鏈接庫，調用監控設置模塊對已加載到內存中且需要監控的API進行監控；對未加載入系統內存的動態鏈接庫進行監控，當其載入系統內后，動態監控模塊將其交于策略加載模塊進行判斷，確認是否是需要監控的動態鏈接庫，如果是，則調用監控設置模塊對該動態鏈接庫內需要監控的API函數進行監控；

3)當所需監控API函數被觸發后，語義轉換模塊對當前操作系統內存進行解析，提取出當前進程、進程ID、當前線程、線程ID、當前進程名、所調用API、所屬動態鏈接庫信息，并寫入日志。