驱动实现监控进程创建及退出（支持64-bit系统）

前段时间借助开源项目 EasyHook 制作了一个在应用层下的监控进程创建的工具。但应用层实现有一些限制，比如 Hook 时风险较高、能取到的信息有限、XP 和 Win7 需要 Hook 不同的函数等。这些问题最终让我向内核研究，希望可以通过一份代码，编译出适应不同系统的驱动程序实现我们的需求，所以就有了本文的内容，我们先来看一下效果图。

2016-08-13_234442

与应用层不同的是，驱动不仅可以监控进程的创建，还可以监控进程的退出。这全部是 Windows 系统给我们提供的功能。由于我们编译使用的是 WDK10，已经不支持 XP 了，若想在 XP 下实现如上功能，可以参考进程创建通知回调例程学习笔记。

程序代码

这个程序是我在学习驱动开发过程中的一个示例程序，如果要使用还需要进一步完善，所以我将代码上传到 github 中，大家可以自己下载进行编译（直接用 VS2015 打开编译即可，需要安装 WDK 环境，点击查看如何搭建 VS2015+WDK10 开发环境）。 Github 代码地址：https://github.com/nmgwddj/Learn-Windows-Drivers/tree/master/ProcessMonitor

如何使用

将代码下载到本地后，使用 VS2015 编译会生成 ProcessMonitor.sys 驱动文件。随后找一台虚拟机进行测试，开启虚拟机时按下 F8 键，选择 “禁用驱动程序签名强制” 启动系统。

2016-08-13_235359

进入系统后找一些驱动加载工具，将驱动加载起来，通过 DebugView 就可以看到程序的输出信息了（DebugView 不显示调试信息处理办法）。