나는 구형 Procmon과 그 전임자 (filemon, regmon 등)가 가상 드라이버를 사용하여 커널을 연결한다는 것을 알고 있습니다. 그러나 Patchguard는 64 비트 Vista +에서 SSDT 후킹 등을 방지합니다.Procmon은 64 비트 Vista +에서 어떻게 작동합니까?
Procmon은 이제 File IO 모니터링 용 미니 필터 드라이버와 네트워킹 모니터링 용 ETW를 사용합니다. 그러나 레지스트리 액세스 및 프로세스/이미지/스레드 이벤트를 모니터링하는 방법에 대해서는 명확하지 않습니다. 이것들에도 ETW를 사용합니까?
(XP 이후) 커널에서 지원을 모니터링하기위한 콜백의 무리가 있습니다
레지스트리 ->http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx
프로세스/이미지/스레드가 통지 - PsSetCreateProcessNotifyRoutineEx/PsSetLoadImageNotifyRoutine/PsSetCreateThreadNotifyRoutine ->http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx가
(xp에서) 일부 제한이 있지만 비스타 이후에는 완전히 기능합니다. 모니터링 활동을 위해 내부 테이블을 패치 할 필요가 없습니다.