Process Monitor या तो रजिस्ट्री ईवेंट को कैप्चर करने के लिए कर्नेल ड्राइवर या ईटीडब्लू (नीचे देखें) का उपयोग कर रहा है। मुझे पता है कि प्रोसेस मॉनिटर अपने कुछ डेटा (जैसे नेटवर्किंग जानकारी) के लिए ईटीडब्ल्यू का उपयोग करता है।
ईज़ीएचक जैसे एपीआई हुकिंग या डिटोरिंग तंत्र आमतौर पर Win32 API स्तर (उदा। RegSetValue
या RegCreateKeyEx
ADVAPI32.dll में) पर संचालित होता है। इस वजह से, आपके पास उल्लेख की सीमा है: केवल उपयोगकर्ता-मोड रजिस्ट्री एक्सेस कैप्चर की जाती हैं। इसके अतिरिक्त, एपीआई हुकिंग आमतौर पर प्रति-प्रक्रिया के आधार पर की जाती है, इसलिए आपको प्रत्येक प्रक्रिया में खुद को इंजेक्ट करना होगा जिसे आप डेटा एकत्र करना चाहते हैं। यदि आप वास्तव में सिस्टम में सभी एक्सेसों को कैप्चर करना चाहते हैं तो आपको प्रक्रिया निर्माण के लिए भी निगरानी करनी होगी।
Event Tracing for Windows (ईटीडब्लू) सभी रजिस्ट्री एक्सेसों को कैप्चर करने के लिए एक आसान तरीका (अपेक्षाकृत बोलने वाला) होगा। ईटीडब्ल्यू के पीछे मूल विचार यह है कि ओएस, रनटाइम, लाइब्रेरी, और यहां तक कि रोज़ाना एप्लिकेशन डेवलपर्स दिलचस्प घटनाओं और परिदृश्यों के बारे में डेटा लॉग इन करने के लिए अपने कोड में विशिष्ट उपकरण जोड़ सकते हैं। यह ट्रेसिंग कम ओवरहेड है और इसे आसानी से एकत्र किया जा सकता है। ईटीडब्ल्यू थोड़ी देर के लिए आसपास रहा है, लेकिन वास्तव में Vista के साथ शुरू होने वाले कर्नेल में यह कर्षण प्राप्त हुआ है। लगभग सभी प्रमुख कर्नेल उपप्रणाली अब ईटीडब्ल्यू के साथ साधनबद्ध हैं। यह अब विंडोज इवेंट लॉग का आधार भी है।
ETW सामान की अपनी उचित हिस्सा है और कुछ क्षेत्रों में पर्याप्त प्रलेखन का अभाव है, लेकिन यदि आप रुचि रखते हैं, तो आप निम्न देख सकते हैं:
का विश्लेषण करने कर्नेल मोड रजिस्ट्री पहुंच मैं सी ++ में लिखने के लिए होता है पकड़ने के लिए के लिए एक .NET पुस्तकालय?
नहीं, ऊपर वर्णित TraceEvent लाइब्रेरी का उपयोग करके, आप कर्नेल- और उपयोगकर्ता-मोड रजिस्ट्री को सिस्टम पर कैप्चर और विश्लेषण करने के लिए सी # का उपयोग कर सकते हैं।
स्रोत
2011-01-29 04:43:21
आप sysinternals जो प्रक्रिया की निगरानी http://technet.microsoft साथ प्रतिस्थापित किया गया से RegMon के बारे में सोच रहे हैं। com/en-us/sysinternals/bb896645 –
प्रोसेस मॉनिटर वह है जिसका मैंने उपयोग किया, हाँ! – Tom
क्या इन SysInternals उपयोगिता के पिछले संस्करण स्रोत कोड के साथ नहीं आया था, या मैं सपना देख रहा हूँ? –