DiskMon运行在NT4上才加载驱动，在W2k以上平台其使用kernel event tracing实现磁盘活动的监视， 但其驱动可以跑在W2k/XP/2K3/Vista上 该驱动Hook了disk的driver dispatch例程，不仅可以监视磁盘活动，稍微改下还能拦截、修改上层对磁盘的读写， 很容易就可以搞个什么 基于Disk的 -DiskMon only run on NT4 load on the driv

SysinternalsSuite中的DiskMon逆向源代码-SysinternalsSuite the DiskMon reverse source code