Как работает Procmon на 64-битной Vista +?

Question

Я понимаю, что старший Procmon и его предшественники (filemon, regmon и т. Д.) Использовали виртуальные драйверы для подключения ядра. Однако Patchguard предотвращает перехват SSDT и т. Д. На 64-битной Vista +.

Насколько я понимаю, Procmon теперь использует мини-драйвер для мониторинга файлов IO и ETW для сетевого мониторинга. Однако я не понимаю, как он контролирует доступ к реестру и процессы/изображения/потоки событий? Использует ли это ETW?

Answer 1

Есть куча обратных вызовов для мониторинга поддержки в ядре (с хр):

• реестра ->http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx

• процесс/изображение/поток уведомит - PsSetCreateProcessNotifyRoutineEx/PsSetLoadImageNotifyRoutine/PsSetCreateThreadNotifyRoutine ->http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx

• диспетчер объектов для контроля ручек ->http://msdn.microsoft.com/en-us/library/windows/hardware/ff558692(v=vs.85).aspx

на xp было какое-то ограничение, но с тех пор они полностью функциональны. Нет необходимости исправлять любые внутренние таблицы для любой активности мониторинга.