系统审计是检测高级持续性威胁（APT）攻击的关键技术，但攻击者可能尝试破坏审计框架本身以隐藏恶意活动。本文对审计框架中的“超级生产者威胁”进行了全面系统的研究。该威胁使攻击者能够通过产生大量审计数据来淹没审计框架，导致其崩溃或性能严重下降，甚至瘫痪整个系统。作者分析认为，现有集中式审计架构缺乏数据隔离是导致该威胁的根本原因。为此，他们提出了一种新型审计框架NODROP，采用基于线程（threadlet）的架构设计，实现了不同进程产生的溯源数据之间的隔离。NODROP的核心思想是将审计数据的产生和处理分配到多个独立线程中，每个线程管理特定进程的审计数据，从而防止单一进程的恶意行为影响其他进程或整个系统。实验评估使用了八种不同的硬件配置，结果表明NODROP在保证审计框架完整性的同时，平均应用程序开销仅比原生Linux高6.58%，比业界领先的商业审计框架Sysdig低6.30%。该研究揭示了审计框架设计中一个被忽视的安全问题，并提供了一个可行的解决方案，对于系统审计领域的安全研究人员和开发人员具有重要参考价值。

WOOTdroid 是一种面向 Android 原生系统的全设备在线追踪方案，旨在解决现有系统审计面临的两大问题。第一，现有系统调用追踪器（如 ftrace）在负载较高时无法及时读取事件，导致缓冲区溢出，造成事件静默丢失。第二，Android 中安全相关的应用行为通过 Binder（内核 IPC 机制）进行，而内核看到的 Binder 数据包（parcel）不包含方法名或类型化参数，导致底层事件与高层语义之间存在“语义鸿沟”。现有方案要么修改 Android 框架（难以适配系统更新），要么在用户态插桩追踪应用（易被绕过）。WOOTdroid 不需要 OS 修改或应用插桩，包含两个核心组件：WDSys 和 WDBind。WDSys 是将 eAudit 风格系统调用审计移植到 eBPF 的实现，可在当前 Android 系统上运行，Geekbench 开销不超过 3.6%，且相比 ftrace 可多追踪 33% 的系统调用。WDBind 在内核中捕获 Binder 数据包，并通过 Java 反射提取的框架签名表在进程外解码。作者在运行 Android 16 的 Pixel 9 设备上进行了端到端案例研究，成功重建了十个安全相关的 Binder 事务。该工作为 Android 安全监控提供了低开销、高语义还原度的新途径。