有人可以给我一个高级别的解释,说明他们如何监控每一个注册表访问?
http://technet.microsoft.com/en-us/sysinternals/bb896645
足够的细节,以便我可以谷歌围绕各个子主题,并尝试编写我自己的主题?我知道他们已经使用了某种dll注入/ API挂钩,但我不确定他们是如何达到所有内核模式活动的。
答案 0 :(得分:15)
它在启动时加载虚拟驱动程序,在低级别执行监视。所以它不必在其他进程中注入任何东西。
在http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm上有关于ProcMon的前任之一FileMon如何工作的简短解释。
如果你喜欢阅读代码,这里是FileMon和RegMon的源代码:http://www.wasm.ru/baixado.php?mode=tool&id=283(来自http://forum.sysinternals.com/topic8038_page1.html)