監控進程API調用Windows 7 vb.net/C#或C++

Question

目前我正在開發一個安全監控應用程序，持續監控創建的新進程。 對於使用wim和事件觀察者的即時通訊，女巫在VB.NET中工作正常。 但有2個功能，即時消失。

我需要監視進程API調用，並且我一直在瘋狂地搜索網頁，並且空着。

基本上我需要監視進程WaitForSingleObject,LoadLibraryA,CreateProcessW和WriteProcessMemory。和註冊表訪問/更改。

我希望這可以做到沒有系統掛鉤，但形成我能找到的，它不能通過WMI完成。

所以問題是，如何以及如何處理託管代碼。

Answer 1

我要專注於第二點，因爲我沒有第一次的經驗。

爲了檢查進程是否已簽名，我使用Mark Russinovich的sigcheck.exe，因爲它使用各種方法驗證文件。一些是目錄簽名的，一些是嵌入的關鍵，還有iirc另一個奇怪的方法。沒有簡單的方法可以自己做。有嘗試自建方法來掩蓋所有可能性的怪異錯誤檢測。希望信息幫助