偶的监控程序PRMonitor 源代码(ddk+sdk)

  最近很多人对实时监控的程序感兴趣,而且zjjmj2002大侠也放了一个出来,我也把我的代码放出来...
通过ssdt hook实现 对进程创建,注册表修改和内核模块加载的监控...
hook 了ZwCreateProcess      其实很多方法不用调用ZwCreateProcess而创建进程  更好的办法是再hook  
NtCreateSection  我懒得改了 具体参考codeproject上的文章Hooking the native API and controlling process creation on a system-wide basis
注册表监控就是hook了ZwSetValueKey 没什么说的
内核监控仅仅 hook了ZwLoadDriver 其它进入ring0的方法没有监控........
现在只能算是一个Demo  骗骗观众罢了
等有时间再完善

其实 写这类的程序关键是封了进入ring0的方法  守住ring0这块高地 其它的什么都不怕.......