C++ 是否可能挂起ReadProcessMemory（）的事件？

是否可以在win32 API中钩住对ReadProcessMemory（）的调用？我想用C或C++来做。< /P>

---

我的意思是，任何时候另一个进程使用该函数时，它都会在某个点转到我的回调，并包含所有信息。

您可以将代码注入每个正在运行的进程，并在调用进程中钩住ReadProcessMemory，就像您钩住任何其他函数一样，但您无法将其从目标进程钩住

---

或者，您可以使用从内核通过PsProcessType对象类型和OB\u操作\u句柄\u创建操作过滤来检测。这将显示任何需要句柄来调用的进程。当这些事件从内核触发时，您将能够执行自己的代码。您还可以从obRegisterCallbacks例程与用户模式进程对话。

您有这样的例子吗？您是否需要管理员访问权限才能实现此目的？好的，似乎要使用obRegisterCallbacks，您必须具有有效的签名驱动程序。这对大多数人来说是不可行的。