标签: windows dll hook pinvoke
是否可以在不编写设备驱动程序的情况下挂钩内核级别的windows函数,或者是API挂钩定义的一部分?
答案 0 :(得分:2)
没有。这不可能。事实上,由于PatchGuard,即使与内核驱动程序挂钩内核函数也很困难。
现在,如果您只想了解事情何时发生并获取信息,ETW将为您提供 ton 信息,您传统上认为这些信息需要内核钩子(虽然你不能拦截和阻止这些呼叫,只能看到它们何时发生)。查看this article了解详情。