我可以使用 EasyHook 从内核模式挂钩一些 API(NtOpenProcess)吗?我对通过进程范围的 dll 注入进行用户模式挂钩不感兴趣,但正如我所见,easy hook 有一个使用与内核模式挂钩相关的代码开发的驱动程序。还是我错了? http://easyhook.codeplex.com/
这项任务的整个目标是为一个应用程序编写一个简单的保护系统,即:阻止特定进程的openprocess,阻止特定目录中的createfile……加上当某些进程试图调用适当的API时得到通知
有什么建议吗?
也许还有其他方法可以在不重新发明轮子的情况下进行内核模式挂钩?