Как отслеживать системные вызовы API Windows, которые делает приложение?

Question

Я пытаюсь создать приложение, которое принимает в качестве входных данных системные вызовы API Windows, которые делает программа. Для этого мне нужен способ регистрировать вызовы API, которые любая программа выполняет в режиме реального времени.

Я пытался использовать NtTrace, но, похоже, он не дал согласованных результатов в разных системах. Я пытался использовать API-интерфейсы на основе графического интерфейса, но они довольно тяжелые и медленные для моего приложения.

Есть ли другой способ достичь этого? Возможно, может быть библиотека Python или C ++, которая позволяет это делать?

Answer 1

Detours - это программный пакет для мониторинга и инструментария вызовов API в Windows.

Detours - это программный пакет для мониторинга и инструментария вызовов API в Windows.Detours использовался многими независимыми разработчиками программного обеспечения, а также командами разработчиков в Microsoft.Detours теперь доступно по стандартной лицензии с открытым исходным кодом (MIT).Это упрощает лицензирование для программистов, использующих Detours, и позволяет сообществу поддерживать Detours с использованием инструментов и процессов с открытым исходным кодом.

Detours совместимо с операционной системой семейства Windows NT: Windows NT, Windows XP, WindowsServer 2003, Windows 7, Windows 8 и Windows 10. Он не может использоваться приложениями Window Store, поскольку для Detours требуются API, недоступные для этих приложений.Этот репозиторий содержит исходный код для версии 4.0.1 Detours.

. Он распространяется в виде исходного кода: https://github.com/microsoft/Detours