DdiMon 项目推荐
项目地址: https://gitcode.com/gh_mirrors/dd/DdiMon 项目基础介绍和主要编程语言
DdiMon 是一个基于 HyperPlatform 的开源项目,主要用于监控和控制内核 API 调用。该项目使用 C/C++ 作为主要的编程语言,适合有一定系统编程经验的开发者使用。DdiMon 通过使用扩展页表(EPT)技术,实现了对内核 API 调用的隐形钩子,使得这些钩子对操作系统内核透明,从而能够监控和控制内核活动。
项目核心功能
DdiMon 的核心功能是通过 EPT 技术实现隐形钩子,从而监控和控制 Windows 内核中的设备驱动接口(DDI)调用。具体来说,DdiMon 可以安装隐形钩子在以下几个关键的 DDI 函数上:
- ExQueueWorkItem
- ExAllocatePoolWithTag
- ExFreePool
- ExFreePoolWithTag
- NtQuerySystemInformation
这些钩子在执行时对操作系统内核透明,不会被内核补丁保护(PatchGuard)检测到。通过这种方式,DdiMon 可以监控和控制这些 DDI 调用,而不会触发 PatchGuard 的警报。
项目最近更新的功能
DdiMon 最近更新的功能包括:
- 增强的 EPT 支持:进一步优化了 EPT 的使用,提高了钩子的隐形性和稳定性。
- 多平台支持:扩展了对 x64 和 Windows 10 平台的支持,使得 DdiMon 可以在更多的系统环境中运行。
- 日志记录优化:改进了日志记录机制,所有日志现在会输出到 DbgView,并保存在
C:\Windows\DdiMon.log文件中,方便开发者进行调试和分析。 - 安装和卸载脚本:提供了更简便的安装和卸载脚本,开发者可以通过命令行轻松安装和卸载 DdiMon 驱动。
通过这些更新,DdiMon 不仅在功能上更加完善,而且在使用上也更加便捷,适合更多的开发者进行研究和使用。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
