Sysinternals中的Process Monitor如何像这样监视文件IO Activity ?如果启用了高级信息,则可以看到以前显示为CreateFile的调用现在显示为IRP_MJ_CREATE,这表明它已挂接了一些相当低级的内容。有谁确切知道它的钩子(Hook)/如何工作?
最佳答案
也许您的答案是this SO post
Sysinternals中的Process Monitor如何像这样监视文件IO Activity ?如果启用了高级信息,则可以看到以前显示为CreateFile的调用现在显示为IRP_MJ_CREATE,这表明它已挂接了一些相当低级的内容。有谁确切知道它的钩子(Hook)/如何工作?
最佳答案
也许您的答案是this SO post