Kernel-Whisperer

内核低语者 它是什么？ 内核低语者包含四个组成部分： 内核模块：捕获事件并创建内部字符串，其中包含足够的信息以标识那些事件的来源。 使用使用链表实现的队列在内部存储事件。 用户模式应用程序：用户模式应用程序，它从上述队列中获取事件字符串并将其存储在数据库中。 通过APPInit注册表项在所有进程上加载的Detours dll 数据库（SQL，No-SQL，NewSQL，Graph）：用于存储内核事件的数据库。 我已经开发了此工具，以一种可以进行挖掘，分析等方式收集内核事件的方式。 正在捕获哪些事件？ 文件系统： 创建的文件 网络： TCP：出站/入站连接/数据 UDP出站/入站数据 ICMP出站/入站数据 流程创建/终止 注册表： 创建密钥（RegCreateKey，RegCreateKeyEx） 设置值（RegSetValue，RegSetValueEx） 查询键元