Чтобы связать это с программированием: вы можете использовать Импорт таблицы адресов и реализовать свою собственную реализацию: -)
Если вы ищете инструмент, я думаю, что кто-то ужесделал это для вас: StraceNT: трассировщик системных вызовов для Windows .
Веб-сайт утверждает, что это клон strace, и strace поддерживает отслеживание дочерних процессов (я сам не использовал этот инструмент, поэтому не уверен в утверждении).
(strace - это утилита, доступнаяв средах Linux, которые позволяют отслеживать системные вызовы, я полагаю, это объясняет имя straceNT).
Надеюсь, это поможет!