用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在<<编写进程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程的文章,比较有意思.就写代码玩一玩.这之中就出现了一些问题.比方说直接用sinister的代码的话,是不能动态卸载的,因为他在安装了进线程监视函数后没有进行清除动作,造成在动态卸载时蓝屏,BUGCHECK为0x000000ce,错误码为:DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS.很显然,在驱动退出后,一些进线程操作仍然在访问原来的地址,造成出错.在XP后,微软给出了一个函数PsRemoveCreateThreadNotifyRoutine用来清除线程监视函数(清除进程监视的就是PsSetCreateProcessNotifyRoutine).我一直奇怪ICESWORD在2000中是怎么做到进线程监视的.后来才发现,在运行icesword后释放出一个detport.sys文件,然后一直在系统中存在着没有卸载掉.只是把它隐藏了而已^_^.这不是个好消息,难道我为了测试一个驱动,测试一次就得重启一次吗?呵呵,肯定不是啊,所以想办法搞定它.

文件 监视 hook 监视文件的变化 希望有用 ~~~~

FileMon 是一个出色系统文件监视工具，可以监视应用程序进行的文件读写操作，localizer、hacker 或 cracker 必备。

Windows文件监视器,能监视指定目录的文件生成、修改、删除、重命名，监视程序对系统文件的操作，程序需要.net 2.0的支持才能运行。

FileEventWatcher(文件监视)源码 程序介绍： FileEventWatcher可以监视目录中文件的创建和修改，启动应用程序提示如何操作文件。你再也不用耗时的手动搜索改变的文件。

帮助你监视硬盘上文件的改变，速度很快 可检测： 1、文件或文件夹的新建、删除、重命名 2、文件大小的改变 3、文件（文件夹）属性的改变 4、文件（文件夹）访问权限的改变 5、文件（文件夹）创建时间的改变 6、文件（文件夹）修改时间的改变 7、文件（文件夹）最后访问时间的改变

Windows文件监视器程序可以对指定的某个盘符或某个目录进行监视，监视的内容包括任何文件及子文件夹的新建、删除、重命令、大小修改等等，并显示监视的结果。

linux 文件监视事件 inotify， inotify 是一个 Linux 内核特性，它监控文件系统，并且及时向专门的应用程序发出相关的事件警告，比如删除、读、写和卸载操作等。

Watchman 的目的是监视文件并在有更改时记录。 当匹配文件发生变化时，它可以触发操作（例如重建资产）。 watchman 可执行文件具有 watchman 服务的客户端和服务器组件。 运行 watchman 时，它将尝试与您现有的服务器实例通信（每个用户都有自己的持久进程），如果它不存在，它将尝试启动它。 有一些选项会影响守望者如何定位服务器，一些选项只影响客户端，而其他一些选项只影响服务器。 由于所有选项都被同一个可执行文件理解，我们将它们分成了各自的部分，以便在应用时更清楚。 守望者是保守的，宁愿在谨慎方面犯错； 当您开始观看文件或不确定时，它会将文件视为新更改的文件。

基于windows COM接口的文件监控程序源码FileMonitorSource