3
Как монитор процессов из Sysinternals контролирует активность IO файла, как он? Если вы включите расширенную информацию, вы увидите, что вызовы, которые ранее были показаны как CreateFile, теперь отображаются как IRP_MJ_CREATE, что говорит о том, что он перехватывает некоторые вещи с довольно низким уровнем. Кто-нибудь знает, что он зацепит/как он работает?Мониторинг IO как ProcMon Sysinternals
Это мое понимание того, что драйвер режима ядра используется/требуется, чтобы делать то, что Process Monitor делает. – driis
Где я могу научиться писать? –
Process Monitor не требует установки, поэтому я был бы удивлен, если он действительно установит драйвер фильтра или что-то еще. Что касается вашего вопроса, где вы можете это узнать. Хотелось бы узнать себя, но до сих пор я смотрел на эту книгу: http://www.amazon.com/Windows-System-Internals-Classic-Reprints/dp/0976717514/ref=sr_1_1?ie=UTF8&qid=1297344046&sr = 8-1, что может пролить некоторый свет –