exe的进程id信息，然后通过当前进程的pid信息在进程快照中找到其父进程的id信息，最后将两者进行比较，判断当前进程是否是有人工启动的。下面介绍的方式对非源码、源码都有效，但是非源码修改起来非常非常麻烦…顶端的信任体系由数字签名、样本分析构成，�