Process Monitor (procmon) 是一种“显示实时文件系统、注册表和进程/线程活动”的工具。我已经阅读了“SysInternal 的 ProcessMonitor 是如何工作的?”这个问题的答案,但我仍然需要澄清。虚拟驱动程序如何从系统上所有正在运行的进程中捕获事件?我认为内核是唯一可以做到这一点的东西或(进程?)。考虑到自问另一个问题以来已经过去了相当长的时间,创建驱动程序是 procmon 运行的唯一方法吗?