Tom*_*Tom 22 c c# c++ operating-system api-hook
有人可以给我一个高级别的解释,他们如何能够监控每一个注册表访问?
http://technet.microsoft.com/en-us/sysinternals/bb896645
足够的细节,以便我可以谷歌围绕各个子主题,并尝试编写我自己的主题?我知道他们已经使用了某种dll注入/ API挂钩,但我不确定他们是如何达到所有内核模式活动的.
Thi*_*ter 16
它在启动时加载虚拟驱动程序,在低级别上执行监视.所以它不必在其他进程中注入任何东西.
在http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm上,有一个关于ProcMon的前身之一FileMon如何工作的简短说明.
如果你喜欢阅读代码,这里是FileMon和RegMon的源代码:http://www.wasm.ru/baixado.php?mode = tool&id = 283 (来自http://forum.sysinternals.com/topic8038_page1.html)