我正在尝试窥探应用程序正在写入的日志文件。
我已经成功地将 createfile 与 MSR 的 detours 库 Hook ,但 createfile 似乎从未被我有兴趣窥探的文件调用。我也尝试过使用相同的结果 Hook openfile。
我不是经验丰富的 Windows/C++ 程序员,所以我最初的两个想法是应用程序在我挂接 api 之前调用 createfile,或者有一些其他 API 可以为它们创建文件/获取句柄。
最佳答案
您可以使用 Sysinternal 的 FileMon . 它是一个出色的监视器,可以准确地告诉您正在执行哪些与文件相关的系统调用 做了什么,参数是什么。
我认为这种方法比 Hook API 调用容易得多,而且侵入性也小得多。
关于c++ - 除了 createfile 和 openfile 之外,还有任何用于获取文件句柄的 Windows API?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13806/