日期:2016-07-22 14:42
钩,可以登记和监控中断服务
SSDT 用于系统调用例程挂钩,可以登记和监控系统调用
IRP Handler 用于驱动程序特定IRP处理例程挂钩,可以登记和监控驱动服务,例如tcpip驱动
IAT 导入地址表挂钩,可以登记和监控静态方式导入的用户空间模块
GDT 这种方式可以替换操作系统全局描述符表
MSR register 登记和监控快速系统调用的专用寄存器
APC 采用异步过程调用的方法可以在被监控进程中引入新的模块或者创建新的线程
二进制补丁 更改磁盘上被监控进程的相关模块,即原位补丁
运行时补丁 更改内存上被监控进程