Process Monitor SDK

2023 年 2 月 8 日 | 暂无评论

Process Monitor 是 Windows Sysinternals 中的一个工具，是 Microsoft TechNet 网站的一部分。 该工具实时监控并显示 Microsoft Windows 操作系统上的所有文件系统活动。 Process Monitor 监视并记录针对 Microsoft Windows 注册表尝试的所有操作。 进程监视器可用于检测读取和写入注册表项的失败尝试。 它还允许过滤特定的键、进程、进程 ID 和值。 此外，它还展示了应用程序如何使用文件和 DLL、检测系统文件中的一些严重错误等。

过程监控功能概述

Process Monitor 具有强大的监控和过滤功能，包括：

• 捕获更多用于操作输入和输出参数的数据
• 非破坏性过滤器允许您在不丢失数据的情况下设置过滤器
• 捕获每个操作的线程堆栈使得在许多情况下可以识别操作的根本原因
• 可靠捕获进程详细信息，包括图像路径、命令行、用户和会话 ID
• 任何事件属性的可配置和可移动列
• 可以为任何数据字段设置过滤器，包括未配置为列的字段
• 先进的日志记录架构可扩展到数千万个捕获的事件和千兆字节的日志数据
• 进程树工具显示跟踪中引用的所有进程的关系
• 本机日志格式保留所有数据以便在不同的 Process Monitor 实例中加载
• 用于轻松查看过程图像信息的过程工具提示
• 详细信息工具提示可以方便地访问不适合列的格式化数据
• 可取消的搜索
• 所有操作的启动时间记录

Easefilter Filter Driver SDK

您可以使用 EaseFilter Process Monitor SDK 和 Registry Monitor SDK 开发应用程序，以实现进程监控工具的相同功能。Easefilter Process Filter Driver SDK 是一款内核模式驱动程序，用于过滤进程/线程的创建和终止。有了 EaseFilter 进程过滤驱动程序，您的应用程序就能防止启动不可信的可执行二进制文件（恶意软件），保护您的数据不被不可信的进程破坏。它还能让应用程序获取进程/线程创建或终止的回调通知，从新进程信息中获取新创建进程的父进程 ID 和线程 ID，还能获取用于打开可执行文件的确切文件名，以及用于执行进程的命令行（如果有）。

如果要获取新进程创建的通知，请启用 "PROCESS_CREATION_NOTIFICATION "标记；如果要获取进程终止的通知，请启用 "PROCESS_TERMINATION_NOTIFICATION "标记；如果要获取进程句柄被创建或复制的通知，请启用 "PROCESS_HANDLE_OP_NOTIFICATION "标记、 如果要获取创建新线程的通知，请启用标记 "THREAD_CREATION_NOTIFICATION"；如果要获取终止线程的通知，请启用标记 "THREAD_TERMINIATION_NOTIFICATION"；如果要获取创建或复制线程句柄的通知，请启用标记 "THREAD_HANDLE_OP_NOTIFICATION"。

最新文章

Process Monitor SDK
File Security Filter Driver SDK
Using EaseFilter Filter Driver SDK
EEFD Transparent File Encryption SDK
EaseFilter File Access Control SDK
EaseFilter File Access Monitor SDK
Process Control SDK
Registry Protection SDK 自动文件加密演示
文件保护器分步演示
文件监视器分步演示
文件访问控制列表
认证与授权
零信任文件访问安全
黑名单和白名单
网络文件监控和保护器
阻止文件访问 USB 驱动器
设置可信进程权限
使用标头加密文件
随时随地加密文件
跟踪应用程序中的文件更改
如何设置文件访问权限
文件访问过滤规则

文件知识库

• 了解文件 I/O
• 了解文件加密
• 了解 I/O 系统
• 了解IRP
• IRP 与快速 I/O
• 了解过滤器驱动程序
• 过滤器驱动程序资源
• 过滤器驱动框架
• 隔离滤波器驱动器
• 存储分层过滤驱动程序

文件加密

• 了解文件加密
• 了解 AES 加密
• C# 中的文件加密
• C++ 中的文件加密
• BitLocker、EFS 与 EEFD
• 对称加密
• 非对称加密
• 数字签名
• EEFD透明文件加密開發包
• EaseFilter文件監控開發包
• EaseFilter文件訪問控制開發包