古い Procmon とその前身 (filemon、regmon など) が仮想ドライバーを使用してカーネルをフックしていたことを理解しています。ただし、Patchguard は 64 ビット Vista 以降で SSDT フックなどを防ぎます。
Procmon は現在、ファイル IO の監視にミニフィルター ドライバーを使用し、ネットワークの監視には ETW を使用していると理解しています。ただし、レジストリ アクセスとプロセス/イメージ/スレッド イベントをどのように監視するかについては明確ではありません。これらにも ETW を使用しますか?
カーネルでサポートを監視するためのコールバックがたくさんあります (xp 以降):
レジストリ -> http://msdn.microsoft.com/en-us/library/windows/hardware/ff545879(v=vs.85).aspx
プロセス/イメージ/スレッド通知 - PsSetCreateProcessNotifyRoutineEx / PsSetLoadImageNotifyRoutine / PsSetCreateThreadNotifyRoutine -> http://msdn.microsoft.com/en-us/library/windows/hardware/ff559917(v=vs.85).aspx
XPではいくつかの制限がありましたが、vista以降は完全に機能します。監視アクティビティのために内部テーブルにパッチを適用する必要はありません。