Procmon 如何在 64 位 Vista+ 上工作？

【问题标题】：How does Procmon work on 64-bit Vista+?Procmon 如何在 64 位 Vista+ 上工作？
【发布时间】：2013-04-10 17:38:22
【问题描述】：

我了解较旧的 Procmon 及其前身（filemon、regmon 等）使用虚拟驱动程序来挂钩内核。但是，Patchguard 可以防止 SSDT 在 64 位 Vista+ 上挂钩等。

据我了解，Procmon 现在使用 minifilter 驱动程序进行文件 IO 监控，使用 ETW 进行网络监控。但是，我不清楚它如何监控注册表访问和进程/图像/线程事件？它是否也为这些使用 ETW？

【问题讨论】：

标签： hook driver etw minifilter procmon

【解决方案1】：

内核中有很多用于监控支持的回调（从 xp 开始）：

注册表 -> http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx
进程/图像/线程通知 - PsSetCreateProcessNotifyRoutineEx / PsSetLoadImageNotifyRoutine / PsSetCreateThreadNotifyRoutine -> http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx
用于句柄监控的对象管理器回调 -> http://msdn.microsoft.com/en-us/library/windows/hardware/ff558692(v=vs.85).aspx

在 xp 上是一些限制，但自 vista 以来它们功能齐全。无需为任何监控活动修补任何内部表。

【讨论】：

猜你喜欢

1970-01-01
1970-01-01
1970-01-01
2016-02-24
1970-01-01
2019-12-29
2011-01-02
2010-11-07
2013-11-10

相关资源

下载 2023-01-25
下载 2021-06-05
下载 2023-04-02
下载 2021-06-05

最近更新更多

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode