1
我瞭解舊版Procmon及其前輩(filemon,regmon等)使用虛擬驅動來掛鉤內核。但是,Patchguard可防止64位Vista +上的SSDT掛鉤等。Procmon如何在64位Vista +上運行?
據我瞭解,Procmon現在使用一個微型過濾器驅動程序進行文件IO監控和ETW進行聯網監控。但是,我不清楚它如何監視註冊表訪問和進程/映像/線程事件?它也使用ETW嗎?
A
回答
2
存在用於在內核監測支持(因爲XP)一堆回調:
註冊表 - >http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx
過程/圖像/線程通知 - PsSetCreateProcessNotifyRoutineEx/PsSetLoadImageNotifyRoutine/PsSetCreateThreadNotifyRoutine - >http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx
- 手柄監控的對象管理器回調 - >http://msdn.microsoft.com/en-us/library/windows/hardware/ff558692(v=vs.85).aspx
對xp有一些限制,但自從vista以來,它們功能完整。無需爲任何監控活動修補任何內部表格。
相關問題
- 1. 如何在Vista 64上以32位模式運行程序?
- 2. 在XP,Vista,Windows7 ... 32和64位上運行.Net應用程序
- 3. 如何在64位Windows上運行Perforce?
- 4. 在32位或64位matlab上運行?
- 5. Vista 64位開發工具
- 6. Vista-64位上的Java RS232 Comm
- 7. 32位應用程序如何在64位Mac上運行?
- 8. 如何在64位內核上運行32位的python?
- 9. 如何在64位linux機器上運行32位matlab?
- 10. 如何在64位mashine上運行32位的fitnesse-standalone.jar
- 11. 如何在64位Linux上運行32位JVM?
- 12. 在64位LInux上運行Eclipse 64位的問題RHEL5
- 13. 如何強制32位版本的遠程桌面客戶端在64位Vista上運行?
- 14. 在Windows 64位上運行Grobid
- 15. 在Windows 7上運行eclipse 64位
- 16. DockerToolbox1.11.2.exe未在64位Win7上運行
- 17. 運行Delphi 2009應用程序時Vista 64位BSOD
- 18. 64位JVM上運行的Eclipse 32位
- 19. 如果x86構建的Nunit.exe無法在Vista 64位上工作
- 20. 在64位運行測試
- 21. 如何運行64位機器上的32位API?
- 22. 如何讓xp_pcre在64位系統上運行?
- 23. 如何讓cx_Oracle在64位Itanium Windows上運行?
- 24. 如何讓RabbitMQ在Snow Leopard 64位上運行?
- 25. 如何在Windows 64位機上運行Mule獨立社區版
- 26. 64位CPU上的VMware 4 ESXi是否運行64位客人?
- 27. SQL Server連接和Vista 64位?
- 28. Python在64位Vista上得到錯誤的值os.environ [「ProgramFiles」]
- 29. 爲什麼RegOpenKeyEx()在Vista 64位上返回錯誤代碼2?
- 30. 32位程序如何能在64位系統中運行