remote portable manager descargar c# c++ c operating-system api-hook

c# - portable - sysinternals



¿Cómo funciona ProcessMonitor de SysInternal? (1)

Carga un controlador virtual en el inicio que realiza el monitoreo en un nivel bajo. Por eso no tiene que inyectar nada en otros procesos.

En http://www.decuslib.com/decus/vmslt00a/nt/filemon.htm hay una breve explicación sobre cómo funciona FileMon, uno de los predecesores de ProcMon.

Si le gusta leer el código, aquí está el código fuente de FileMon y RegMon: http://www.wasm.ru/baixado.php?mode=tool&id=283 (de http://forum.sysinternals.com/topic8038_page1.html )

¿Podría alguien, por favor, darme una explicación de alto nivel sobre cómo pueden monitorear cada acceso del registro?

http://technet.microsoft.com/en-us/sysinternals/bb896645

¿Suficiente detalle para poder buscar en los distintos subtemas e intentar escribir el mío? Sé que han utilizado algún tipo de inyección de API / enlace de API, pero no estoy seguro de cómo llegaron a toda la actividad del modo kernel.