Есть ли программа стиля ProcMon для Kernel-Mode?


1

Есть ли способ контролировать выполнение кода режима ядра в Windows с помощью программы, например Process Monitor, или это что-то только для WinDbg?

0

Что вы подразумеваете под контролем выполнения кода в режиме ядра? В режиме ядра много чего происходит. Например, операции с файлами и реестром все еще будут видны в ProcessMonitor, из-за кода ядра большую часть времени выполняется в контексте процессов пользовательского режима, то есть вне процесса System. Однако, если вы удалите фильтр в системном процессе в ProcessMonitor, вы также сможете увидеть активность ядра из системного процесса. Также есть такие инструменты, как IrpMon или DriverMon, которые позволяют вам видеть IRP-трафик/вызовы функций IRP_MJ_xx.

+1

спасибо, я думаю, что это начало ... В принципе у меня есть приложение, я реверс и имеет драйвер фильтра UserMode клиент и режим ядра. Есть функциональность, которая, вероятно, происходит в драйвере, который я пытаюсь изменить, и, как правило, я бы сделал некоторый динамический анализ с помощью procmon и посмотрел, что делает приложение ... Однако в procmon активность не отображалась для драйвера как это было бы с приложением пользовательского режима под его именем proc. Был j/w, если были шаги для получения аналогичной функциональности. Попробуй свои предложения. 02 дек. 172017-12-02 09:38:17

  0

Это не странно, так как proc mon предназначен для прослушивания на настольных приложениях с пользовательскими интерфейсами, он устанавливает привязку окон к вызовам DLL для захвата ручек r/w для регистрации и файлов/папок, то есть знаменитого user32.dll, если драйвер имеет его собственные эндогенные инструменты для манипулирования рег, а затем procmon - далеко продвинуться в том, что происходит. 05 мар. 182018-03-05 22:48:38


0

Ближайшая вещь, о которой я знаю, это DbgKit от Andrey Bazhan. Это не совсем то, о чем вы просите, но оно обеспечивает хорошее расширение GUI поверх WinDbg (которое можно использовать для отладки ядра). Это больше похоже на Process Explorer, чем Procmon.

DbgKit Memory Explorer