程序行为分析(program behavior analysis),工学-公安技术-网络安全与执法-电子数据取证,对程序在运行期间与计算机信息系统的交互及其对计算机信息系统产生的影响进行分析的过程。对待检程序按照如下过程进行分析:①将需要分析的程序在沙箱环境中运行,通过监控系统分析程序的联网、注册表读写,分析计算机信息系统中文件的增加、删除、修改等行为;②使用分析工具对待检程序进行动态调试,通过调试的方法分析程序与计算机信息系统的交互行为;③通过逆向或者反编译的方法在代码逻辑层面对待检程序的行为进行分析。程序行为分析需要记录的主要内容有:①程序的名称、版本、大小等属性信息;②程序的哈希值;③程序运行的操作系统;④程序行为分析使用的工具名称和版本;⑤程序行为监控日志;⑥录像/图像文件文件名和哈希值。程序行为分析可以列举待检程序运行过程中与所在计算机信息系统的交互行为,分析程序行为对计算机信息系统的运行造成的影响。