KsStudio - KS Monitor
KSMonitor는 KSStudio(KSMon.sys)에서 설치한 디바이스 드라이버로, KS 필터 및 핀 인스턴스를 대상으로 하는 모든 IRP 기반 통신을 검사하는 데 사용할 수 있습니다. AVStream(2세대 KS) 필터는 일반적으로 IRP 기반이 아닌 다른 통신 유형을 사용할 수 있습니다. 따라서 KSMonitor는 두 AVStream 필터 간의 통신을 모니터링할 수 없습니다.
필터를 모니터링하려면 필터 팩터 리 보기 또는 토폴로지 또는 개체 세부 정보 보기의 필터 인스턴스에서 필터 팩터리를 마우스 오른쪽 단추로 클릭합니다. "모니터"를 선택합니다. 모니터링을 사용하도록 설정하면 필터 instance 모니터 아이콘이 표시됩니다.
KS 모니터 기능
KSMonitor에는 다음과 같은 기능이 있습니다.
- 반환 코드 필터링 -- 예를 들어 "STATUS_..."만 볼 수 있습니다. 반환 코드
- IRP 필터링 -- 예를 들어 IRP_MJ_DEVICECONTROL IRP만 볼 수 있습니다.
- IOCTL_KS_PROPERTY IRP 확장
- IRP 통계
- IRP 타이밍
- 중단점 설정
- 클립보드 기능에 복사 - 대부분의 다른 KSStudio 보기와 마찬가지로 클립보드에 복사할 수 있습니다.
KS 모니터 작동 방식
KSMonitor는 지정된 필터에 해당하는 디바이스 개체에 연결하여 작동합니다. 필터를 모니터링하도록 선택한 경우 KSStudio는 KSMonitor에 해당 필터의 instance 대한 핸들을 제공합니다. 필터가 아직 인스턴스화되지 않은 경우 KSStudio에서 인스턴스화합니다. 그런 다음 KSMonitor는 이 필터 핸들에 해당하는 Device Object를 파악하고 해당 Device 개체의 "위쪽"에 연결합니다. 그러면 Device 개체를 대상으로 하는 모든 IRP가 KSMonitor로 필터링됩니다.
이 시스템의 의미는 다음과 같습니다.
- IRP_MJ_ 포함한 모든 IRP... IRP_MJ_ 같은 "KS IRP"뿐만 아니라 모니터링됩니다.
- 필터의 모든 인스턴스를 대상으로 하는 모든 IRP가 모니터링됩니다.
- 필터의 모든 핀 인스턴스를 대상으로 하는 모든 IRP가 모니터링됩니다.