Filesystems 监视类似于系统内部的IO'；普罗克蒙_Filesystems_Io_Monitoring_Procmon

Filesystems 监视类似于系统内部的IO'；普罗克蒙

filesystems io monitoring

Filesystems 监视类似于系统内部的IO'；普罗克蒙,filesystems,io,monitoring,procmon,Filesystems,Io,Monitoring,Procmon,Sysinternals中的流程监视器如何像它那样监视文件IO活动？如果启用高级信息，可以看到以前显示为CreateFile的调用现在显示为IRP_MJ_CREATE，这表明它钩住了一些相当低级的东西。有人确切地知道它钩住了什么/它是如何工作的吗？也许你的答案是关于据我所知，内核模式驱动程序是用来/需要用来做Process Monitor所做的事情的。我在哪里可以学会如何编写一个呢？Process Monitor不需要安装，所以如果它真的安装了筛选器驱动程序或其他东西，我会感到惊讶。至于你的问题

Sysinternals中的流程监视器如何像它那样监视文件IO活动？如果启用高级信息，可以看到以前显示为CreateFile的调用现在显示为IRP_MJ_CREATE，这表明它钩住了一些相当低级的东西。有人确切地知道它钩住了什么/它是如何工作的吗？

也许你的答案是关于

据我所知，内核模式驱动程序是用来/需要用来做Process Monitor所做的事情的。我在哪里可以学会如何编写一个呢？Process Monitor不需要安装，所以如果它真的安装了筛选器驱动程序或其他东西，我会感到惊讶。至于你的问题，你在哪里可以学到这一点。我很想了解我自己，但到目前为止我已经看过这本书了：这可能会给我们带来一些启示