跟踪 Windows API 调用

Question

我目前正在开发 .NET/Python 中的一个工具，用于监视系统上的某些事件，例如编写特定的注册表项或创建具有特殊名称的文件。

我评估了许多可能性，并且由于我不必关心 WinXP 支持，因此我使用 Windows 事件跟踪来获取所有文件和注册表活动的实时流，并且这工作得很好（通过使用来自 NT 的事件）内核记录器）。

现在，我必须扩展我的工具来监视对某些 Windows API 函数（例如 WriteProcessMemory、NtUnmapViewOfSection 或 VirtualAllocEx）的所有调用。我发现许多工具允许我跟踪单个进程的所有 API 调用，但挂钩所有进程并不是一个好主意，不是吗？

现在我想知道是否有可能使用 ETW 来实现这一点。内核是否提供了任何提供程序来通知我 API 调用？如果没有，我还能做什么？

摘要：如果我想捕获 API 调用，是否必须挂钩每个进程？

Answer 1

一般来说，拦截系统API调用有两种方法：用户模式或内核模式拦截。对于用户模式 ​​API 拦截，您必须挂钩每个进程，以准确捕获/重定向对所需 API 函数的每个调用。内核模式拦截避免了挂钩每个进程的需要，但也需要高级的低级知识（以及交叉签名的代码签名证书以在内核模式下运行代码）。

有许多可用的库可以提供 API 挂钩功能，但我相信我所知道的所有库主要在用户模式下工作，即需要将系统范围的 DLL 注入到进程中。