除了 createfile 和 openfile 之外，还有 Windows API 可以获取文件句柄吗？

Question

我正在尝试监听应用程序正在写入的日志文件。

我已成功将 createfile 与 MSR 的 detours 库挂钩，但 createfile 似乎从未被我感兴趣的文件调用。 我也尝试过挂钩 openfile 并得到相同的结果。

我不是一个经验丰富的 Windows/C++ 程序员，所以我最初的两个想法是应用程序在挂接 api 之前调用 createfile，或者有一些其他 API 用于创建文件/获取它们的句柄。

Answer 1

您可以使用 Sysinternal 的 FileMon。
它是一个出色的监视器，可以准确地告诉您正在执行哪些与文件相关的系统调用
做了什么，参数是什么。

我认为这种方法比挂钩 API 调用容易得多，而且侵入性也小得多。

Answer 2

这是一个可能有用的链接：

使用 C# 和 C++ 进行游击式文件监控

可以在不接触 CreateFile API 的情况下创建文件，但我可以问一下您使用的是什么 DLL 注入方法吗？ 如果您使用 Windows Hooks 之类的东西，您的 DLL 直到目标应用程序初始化后才会安装，并且您将错过对 CreateFile 的早期调用。 然而，如果您使用 DetourCreateProcessWithDll 之类的东西，则可以在任何应用程序启动代码运行之前安装 CreateFile 挂钩。

根据我的经验，99.9% 的创建/打开的文件都会调用 CreateFile，包括通过 C 和 C++ 库、第三方库等打开的文件。也许有一些未记录的 DDK 函数不会通过 CreateFile 路由，但对于一个典型的日志文件，我对此表示怀疑。

Answer 3

sysinternals 的进程监视器也可以提供帮助。