1
我了解旧版Procmon及其前辈(filemon,regmon等)使用虚拟驱动来挂钩内核。但是,Patchguard可防止64位Vista +上的SSDT挂钩等。Procmon如何在64位Vista +上运行?
据我了解,Procmon现在使用一个微型过滤器驱动程序进行文件IO监控和ETW进行联网监控。但是,我不清楚它如何监视注册表访问和进程/映像/线程事件?它也使用ETW吗?
A
回答
2
存在用于在内核监测支持(因为XP)一堆回调:
注册表 - >http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx
过程/图像/线程通知 - PsSetCreateProcessNotifyRoutineEx/PsSetLoadImageNotifyRoutine/PsSetCreateThreadNotifyRoutine - >http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx
- 手柄监控的对象管理器回调 - >http://msdn.microsoft.com/en-us/library/windows/hardware/ff558692(v=vs.85).aspx
对xp有一些限制,但自从vista以来,它们功能完整。无需为任何监控活动修补任何内部表格。
相关问题
- 1. 如何在Vista 64上以32位模式运行程序?
- 2. 在XP,Vista,Windows7 ... 32和64位上运行.Net应用程序
- 3. 如何在64位Windows上运行Perforce?
- 4. 在32位或64位matlab上运行?
- 5. Vista 64位开发工具
- 6. Vista-64位上的Java RS232 Comm
- 7. 32位应用程序如何在64位Mac上运行?
- 8. 如何在64位内核上运行32位的python?
- 9. 如何在64位linux机器上运行32位matlab?
- 10. 如何在64位mashine上运行32位的fitnesse-standalone.jar
- 11. 如何在64位Linux上运行32位JVM?
- 12. 在64位LInux上运行Eclipse 64位的问题RHEL5
- 13. 如何强制32位版本的远程桌面客户端在64位Vista上运行?
- 14. 在Windows 64位上运行Grobid
- 15. 在Windows 7上运行eclipse 64位
- 16. DockerToolbox1.11.2.exe未在64位Win7上运行
- 17. 运行Delphi 2009应用程序时Vista 64位BSOD
- 18. 64位JVM上运行的Eclipse 32位
- 19. 如果x86构建的Nunit.exe无法在Vista 64位上工作
- 20. 在64位运行测试
- 21. 如何运行64位机器上的32位API?
- 22. 如何让xp_pcre在64位系统上运行?
- 23. 如何让cx_Oracle在64位Itanium Windows上运行?
- 24. 如何让RabbitMQ在Snow Leopard 64位上运行?
- 25. 如何在Windows 64位机上运行Mule独立社区版
- 26. 64位CPU上的VMware 4 ESXi是否运行64位客人?
- 27. SQL Server连接和Vista 64位?
- 28. Python在64位Vista上得到错误的值os.environ [“ProgramFiles”]
- 29. 为什么RegOpenKeyEx()在Vista 64位上返回错误代码2?
- 30. 32位程序如何能在64位系统中运行