监控是针对行为管理

保护是针对权限管理

几乎所有的安全软件都离不开监控和保护。

而监控和保护都利用了过滤技术，或者所谓的钩子技术。

过滤(钩子)技术一共有三种：

1. 系统自带过滤框架，回调接口，比如：

　　Ring3：

　　　　SetWindowsHookEx

　　　　File|Regisgry ChangeNotify　　

　Ring0

　　　　Ps*Callback

　　　　miniFilter

　　　　CmCallback

　　这种过滤框架优选选择，因为稳定文档化；兼容性也好

2. 基于表驱动的钩子技术，比如

　　导入表

　　导出表

　　系统调用表SSDT SSDTShadow

　　IRP表

　　内核对象函数表OBJECT TYPE

　　Win32 Callback

　　虚函数表

　系统内有大量的表驱动实现的功能，因此也是过滤的最佳选择，只要简单替换函数地址，便能达到过滤功能。

 　当这种过滤方式存在一定冲突，因为没有约定，不同的人都可以进行修改。

3. 最牛叉最无脑却无所不能的技术：内联钩子

　　能不用就别用！

　　如果使用，

　　　　a. 建议优先使用Windows提供的Patch技巧。

　　　　b. 寻找jmp call 等修改函数地址的位置

所有安全问题都可以添加一个分层来解决，

未完没续

监控与保护