Как работает ProcessMonitor от SysInternal?

Question

Может ли кто-нибудь дать мне объяснение высокого уровня, как они могут контролировать каждый доступ к реестру?

http://technet.microsoft.com/en-us/sysinternals/bb896645

Достаточно подробно, чтобы я мог гуглить по различным подпрограммам.темы и попробуйте написать свою?Я знаю, что они использовали какую-то DLL-инъекцию / перехват API, но я не уверен, как они достигли всей активности режима ядра.

Answer 1

Он загружает виртуальный драйвер при запуске, который выполняет мониторинг на низком уровне. Так что не нужно ничего вставлять в другие процессы.

На http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm есть краткое объяснение того, как работает FileMon, один из предшественников ProcMon.

Если вам нравится читать код, вот исходный код FileMon и RegMon: http://www.wasm.ru/baixado.php?mode=tool&id=283 (из http://forum.sysinternals.com/topic8038_page1.html)