WriteProcessMemory Monitor(系统进程监视器)是Windows操作系统的实用设计,完全监测系统中写入其他进程的虚拟地址空间中的进程。恶意软件经常使用这种技术,以便写外国进程的有效载荷存根,挂钩一个API,加载一个恶意DLL等NTDLL、NtWriteVirtualMemory挂钩,以实现在用户模式所需的日志记录功能。
WriteProcessMemory Monitor(系统进程监视器)说明:
1、WriteProcessMemory API监视器显示呼叫者进程和目标进程的文件名,以及他们各自的进程标识符显示过程和缓冲区的十六进制表示的实际内容写入缓冲区的大小。此外,书面的内存的位置显示在十六进制,以方便运行时的逆向工程。
2、WriteProcessMemory API的监视器可以很容易地集成到恶意软件或rootkit测试环境,以帮助安全研究员反向分析的恶意软件以及其他功能强大的工具一块。
