跟踪所有进程的Windows API调用
本文关键字:Windows API 调用 进程 跟踪 | 更新日期: 2023-09-27 18:02:17
我正在尝试编写一个应用程序,该应用程序将在所有正在运行的进程(以及在我的应用程序启动后创建的进程)上对Windows API的某些函数和dll的使用进行静态分析。
在搜索互联网后,我发现了一些可能有帮助的工具-如WinAPIOverride
, EasyHook
和ProcMon
,它们使用不同类型的钩子。不幸的是,对我来说,它们似乎不能完全满足我的需求:WinAPIOverride
, EasyHook
只能挂钩某些应该选择的进程,而ProcMon
没有一个接口,我可以用它来跟踪我需要的API调用。
我还想知道这种钩子是否可以与Python代码或至少c#环境相连接。
我想听听你的建议。
这篇文章可能不是你想要做的事情的圣杯,但肯定会让你在你的探索中更进一步:
http://www.codeproject.com/Articles/2082/API-hooking-revealed我不是100%确定这是我正在考虑的文章进入ProcMon..经过进一步的研究,我很确定我正在考虑的是EasyHook: http://www.codeproject.com/Articles/27637/EasyHook-The-reinvention-of-Windows-API-hooking
ETW也可能是另一种研究途径:http://www.codeproject.com/Articles/570690/Application-Analysis-with-Event-Tracing-for-Window