在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着Patch Guard的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方进程监控&保护PsSetCreateProcessNotifyRoutineEx这个函数主要是设置进程回调监控进程创建与退出NTSTATUS PsSetCreateProcessNotifyRoutineEx([in] PC...