有很多经验的人告诉我,至少有一种监控Windows操作系统调用的替代方法,例如,创建类似Process Monitor的功能或开发反病毒扫描程序,这是不是“挂钩”而且这种替代方法比挂钩更有效。但是,我不确定在开发过滤器驱动程序以执行此任务的情况下挂钩的替代方法。
答案 0 :(得分:0)
没有。没有相应的SSDT挂钩,但这并不意味着你无法监控事件。我们在KM中有几个CB可用于监视和更改数据/访问权限等。如果您正在谈论AV扫描仪,那么这些CB在大多数情况下都是足够的。我认为描述你需要的东西会更好。然后,更容易说出要使用的内容。
旁注这已作为评论。我认为你必须获得超过50个代表才能发表评论,这真是太疯狂了!评论有助于更好地理解问题并澄清事情。为什么有人需要代表那个?!