Filemon&Regmon4.3 源代码

Filemon和Regmon是两个非常著名的系统监控工具，由Sysinternals公司开发，现在已被Microsoft收购。它们分别用于监视文件系统活动和注册表操作，对于系统管理员、开发者以及故障排除人员来说，是不可或缺的工具。这里我们将深入探讨这两个工具的4.3版本源代码，以了解其背后的机制和驱动技术。 Filemon 4.3源代码： Filemon是一款实时监控文件系统活动的工具，它能够记录应用程序对文件进行的所有读取、写入、创建、删除等操作。通过分析Filemon的源代码，我们可以了解到如何利用Windows API来拦截和处理文件系统调用。这涉及到I/O管理器、文件系统过滤驱动（Filter Driver）的概念，如系统如何在内核模式下处理文件请求，并如何将这些请求传递到用户模式的应用程序。 1. **文件系统过滤驱动**：Filemon可能实现了一个文件系统过滤驱动，以在文件操作发生时注入自身，从而捕获系统级别的文件访问事件。这种技术允许软件在不修改目标应用程序的情况下监控其行为。 2. **IRP（I/O请求包）处理**：在源代码中，会涉及到IRP的创建、调度和完成，这是Windows内核中处理I/O操作的核心机制。 3. **设备驱动编程**：Filemon可能通过创建一个虚拟设备驱动（VxD），在Windows 9x/ME系统上实现其功能，而在NT/2000/XP及更高版本的系统中，可能使用Kernel-Mode Driver Framework（KMDF）或User-Mode Driver Framework（UMDF）。 Regmon 4.3源代码： Regmon则专注于监视注册表的访问，提供详细的操作记录，如打开、关闭、查询、创建、删除键值等。它的源代码揭示了如何跟踪注册表操作的技术细节： 1. **注册表API拦截**：Regmon可能通过钩子（Hooking）技术来拦截和记录应用程序对注册表API的调用，例如RegCreateKeyEx、RegSetValueEx等。 2. **注册表键值监控**：Regmon需要能够跟踪注册表键的创建、删除和更改，这涉及到理解注册表的层次结构以及如何在内核中跟踪这些变化。 3. **注册表过滤驱动**：与Filemon类似，Regmon可能也利用了注册表过滤驱动技术，但这在Windows中比文件系统过滤驱动更为复杂，因为注册表操作通常在用户模式下完成，而内核模式的介入更少。 4. **权限管理和安全**：源代码还会涉及如何处理注册表操作的权限检查，包括用户权限、访问控制列表（ACLs）以及安全性描述符。 学习Filemon和Regmon的源代码，可以帮助我们深入理解Windows操作系统的工作原理，尤其是关于文件系统和注册表的部分。这对于系统级编程、驱动开发、性能优化和问题排查具有极大的价值。同时，这也是一次难得的机会，可以学习到如何在Windows环境下创建高效、低侵入性的监控工具。