基于ETW Hook的内核级沙箱设计与实现

本文介绍了一种基于 ETW Hook 的系统沙箱设计：通过在内核中利用 ETW 记录系统调用时暴露的可替换函数指针，实现对系统调用的隐蔽劫持和监控，从而绕过传统 API Hook 易被检测和规避的缺陷；通过配置 CKCL 会话和 PMC 计数器使控制流进入目标路径，再结合进程列表管理、堆栈检测等机制，能够在不暴露用户态痕迹的情况下捕获并分析恶意软件的系统调用行为，为安全分析提供更强大且不易规避的监