使用关联的提供商

Question

我最近开始研究Pico流程的主题（请参阅here和here）。我也开始阅读Windows Internals 7th Edition Part 1书。

如书中所述，目前没有可用于创建自定义Pico流程和提供程序的API。但是，我认为可以在内核驱动程序中创建Pico进程或提供程序，因为Pico进程的定义声明为：

[...] the idea of a Pico provider is defined, which is a custom kernel-mode driver that receives access to specialized kernel interfaces through the PsRegisterPicoProvider API. - Windows Internals第7版第1部分，p。 68

不幸的是，在Visual Studio 2015中创建一个新的内核模式驱动程序就像描述here一样，似乎没有任何可用的头或接口允许创建Pico进程和提供程序。我似乎只能写其他类型的KMDF项目。

目前是否有任何方式供开发人员在Windows中创建和测试自定义Pico流程和提供商？

Answer 1

Martin Hron几年前与Pico Providers进行了一次小实验。在其中，他包括一些程序集引用，头文件和外部C接口，其中包括用于Pico Process监视工具的驱动程序。我不确定他的代码是否仍然有效，但是它可以让您深入了解需要与之交互的标头和结构。

https://github.com/thinkcz/pico-toolbox

YMMV。