我刚学会使用Procmon。他们从所有教程中说,用户应“启用高级输出”进行过滤。我一直在寻找高级输出和普通输出之间的差异,但是没有运气。
我发现在正常输出(禁用高级输出)中,这些操作位于以下列表中:https://gist.github.com/mgeeky/f0d13172d557e5860c0301dbf847de60。
它们的类别为:文件系统,ProcessThread,注册表,网络,分析。
具有高级输出的同时,这些操作包含IRP_MJ_CLOSE,FASTIO_RELEASE_FOR_SYNCHRONIZATION等。
高级输出的类别是什么?
谢谢!