SysInternal_草庐IT

windows - SysInternal 的 handle.exe 的输出

我正在使用SysInternal的handle.exe，我正在尝试理解输出。这是一个片段:24C:File(RW-)C:\ProgramFiles(x86)\Google\Chrome\Application\Dictionaries\en-US-8-0.bdic2E8:Section\Sessions\1\BaseNamedObjects\CrSharedMem_5ae414b12a307dbddc3f42b8b35edcbf313107945050b3aaab1602ecd937c9402F4:Section\Sessions\1\BaseNamedObjects\CrShared

c# - SysInternal 的 ProcessMonitor 是如何工作的？

谁能给我一个高层次的解释他们如何能够监控每一个注册表访问？http://technet.microsoft.com/en-us/sysinternals/bb896645足够详细，以便我可以搜索各种子主题并尝试编写自己的子主题？我知道他们使用了某种dll注入(inject)/APIHook，但我不确定他们是如何达到所有内核模式事件的。最佳答案它在启动时加载一个虚拟驱动程序，该驱动程序在低级别进行监视。所以它不必在其他进程中注入(inject)任何东西。开启http://www.decuslib.com/decus/vmslt00