Pull to refresh

Comments 4

для решения сторонник задач — например, поиска программ в исследуемом образе системы, которые используют заданный ключ реестра


Что мешает procmon( Process Monitor ) использовать в таких случаях?
К слову, предлагается к скачиванию, даже на микрософтоском сайте.
Что мешает procmon( Process Monitor ) использовать в таких случаях?


Ничего не мешает. С другой стороны, функциональности этой программы не всегда может хватать.
Что мешает procmon( Process Monitor ) использовать в таких случаях?
В современных Windows даже procmon с его драйвером ядра — оверкилл, можно просто подписаться на провайдера событий «Microsoft-Windows-Kernel-Registry» (похожий пример)

Однако, так мы получим факт, что процесс с PID 0x12345 сделал операцию в реестре, но не получим доступ к коду, которым он это сделал. Может, код самоудаляется после выполнения. А тут встали на breakpoint и можно выйти в программу — поотлаживать, посмотреть, какие логические пути ведут к этому вызову API.

Класс, а для объектов ядра подобного нет?

Sign up to leave a comment.