探秘Windows系统请求监控利器 - IRPMon

探秘Windows系统请求监控利器 - IRPMon

项目地址:https://gitcode.com/gh_mirrors/ir/IRPMon

IRPMon是一个强大的工具，用于监视选定设备对象或内核驱动程序接收到的请求。这个工具与IrpTracker类似，但提供了一些增强功能，比如对64位Windows操作系统的支持，并且能够跟踪IRP、FastIo、AddDevice、DriverUnload和StartIo请求等。

项目编译

IRPMon的开发环境需求包括Visual Studio 2017或2019（用于驱动程序和DLL的编译），Delphi 10.3 Rio（GUI应用程序）以及Inno Setup 6（构建安装程序）。对于Windows XP的支持，需要在你的开发环境中安装相应的支持库。通过scripts\build.bat脚本，可以方便地完成编译过程，当然，别忘了配置签名证书以确保软件的安全性。

样例应用

项目中还提供了诸如kbdsample这样的示例程序，它会钩取主键盘设备(\Device\KeyboardClass0)并显示有关检测到的请求的基本信息。这不仅展示了如何利用IRPMon DLL获取信息，还演示了如何枚举已钩取的驱动程序并按需进行解钩。

团队成员

IRPMon由Martin Dráb创建，并得到了Petr Vaněk的贡献。如果你愿意支持这个工具的发展，可以通过比特币、门罗币或者PayPal进行捐赠。

联系方式

对于任何反馈和建议，都可以在GitHub上创建问题，或者直接发送电子邮件至martin.drab@email.cz。

---

IRPMon以其独特的技术手段，为开发者和系统管理员提供了一种深入洞察Windows系统内部请求行为的方式。无论你是要调试驱动程序，还是研究系统级交互，IRPMon都能成为你的得力助手。它的64位支持、广泛的请求类型覆盖，以及易于使用的接口，都使其成为一个值得尝试的开源项目。立即加入，探索更多可能性吧！

IRPMon The goal of the tool is to monitor requests received by selected device objects or kernel drivers. The tool is quite similar to IrpTracker but has several enhancements. It supports 64-bit versions of Windows (no inline hooks are used, only moodifications to driver object structures are performed) and monitors IRP, FastIo, AddDevice, DriverUnload and StartIo requests. 项目地址: https://gitcode.com/gh_mirrors/ir/IRPMon