誰かが、どのように彼らがすべての単一のレジストリアクセスを監視することができるか、高いレベルの説明を教えてください。私はSysInternalのProcessMonitorはどのように機能しますか?
http://technet.microsoft.com/en-us/sysinternals/bb896645
十分な詳細を、様々なサブトピックを中心にGoogleと私自身のものを書いてみることができるように?何らかのdll注入/ APIフックを使用していることは知っていますが、カーネルモードのすべての動作にどのように到達したのかは不明です。
起動時に低レベルで監視する仮想ドライバをロードします。したがって、他のプロセスに何も注入する必要はありません。
http://www.decuslib.com/decus/vmslt00a/nt/filemon.htmには、ProcMonの先任者の1人であるFileMonがどのように機能するかについての短い説明があります。
あなたがコードを読んで好きなら、ここにFileMonユーティリティおよびRegMonののソースコードは次のとおりです。(http://forum.sysinternals.com/topic8038_page1.htmlから)http://www.wasm.ru/baixado.php?mode=tool&id=283
今どこでコードを入手できるのか知っていますか? –
インターネットアーカイブのwasm.ruから入手できます: https://web.archive.org/web/20050221211220/http://wasm.ru/baixado.php?mode=tool&id=283 – Jason
基本的にマークRussinovich氏は、彼が彼のような神の望んで絶対に何もすることができます! –
さて、それほど大したことはありません。あなたがLinuxの世界に行くならば、より多くを砕く強力なツールを見つけ出すでしょう。 cat/echo/proc/{あなたが知る必要があるすべてのもの} '、...あなたがソースを読むことができると思います – mathk
ハッハッハ、私は同意しますDavid – Mandrake