我理解较旧的Procmon及其前身(filemon,regmon等)使用虚拟驱动程序挂钩内核。但是,Patchguard阻止了64位Vista +上的SSDT挂钩等。
据我所知,Procmon现在使用minifilter驱动程序进行文件IO监控,使用ETW进行网络监控。但是,我不清楚它如何监视注册表访问和进程/图像/线程事件?它是否也使用ETW?
答案 0 :(得分:2)
在内核中监视支持有许多回调(自xp起):
注册表 - > http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx
process / image / thread notify - PsSetCreateProcessNotifyRoutineEx / PsSetLoadImageNotifyRoutine / PsSetCreateThreadNotifyRoutine - > http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx