我可以使用EasyHook从内核模式挂钩某些API(NtOpenProcess)吗? 我对通过进程宽dll注入的用户模式挂钩不感兴趣,但是我看到easy hook有一个驱动程序开发了与内核模式挂钩相关的代码。还是我错了? http://easyhook.codeplex.com/
此任务的整个目标是为一个应用程序编写一个简单的保护系统,即:阻止特定进程的openprocess,阻止特定目录中的createfile ... 加上一些进程尝试调用适当的API时收到通知
有什么建议吗?
也许有其他方法可以在不重新发明轮子的情况下使内核模式挂钩?