如果是对进程的动作感兴趣，可以用Sysinternals套件里面的东西，除了Processor Explorer这个类似ark的任务管理器，还有个专门监控程序行为的软件，不过这个软件记录的行为非常细致，需要用户有一定的基础才能看懂。对于上传这种动作，随便一个防火墙之类的就行，看起上行流量是否正常。对于扫描文件，很多hips会记录某某软件读取了某某文件夹就说这个软件是流氓，其实很多时候并不是这么简单。