我正在开发一个驱动程序,用于钩取Windows中的一些函数(硬化驱动程序,将阻止某些操作)。问题是,我想记录试图运行这些操作的用户是谁。
例如,我已经在ZwSetValueKey上放置了一个钩子,以过滤注册表写入。
钩子完美地工作,但我不知道如何获取调用者SID。我已经发现可以使用ExGetPreviousMode来确定调用者的模式(即用户模式或内核模式)。但如果调用方处于用户模式下,我不太确定如何确定SID。
谢谢。
例如,我已经在ZwSetValueKey上放置了一个钩子,以过滤注册表写入。
钩子完美地工作,但我不知道如何获取调用者SID。我已经发现可以使用ExGetPreviousMode来确定调用者的模式(即用户模式或内核模式)。但如果调用方处于用户模式下,我不太确定如何确定SID。
谢谢。