从用户模式到内核模式的Windows API跟踪_Windows_Debugging_Winapi_Kernel32

从用户模式到内核模式的Windows API跟踪

windows debugging winapi

从用户模式到内核模式的Windows API跟踪,windows,debugging,winapi,kernel32,Windows,Debugging,Winapi,Kernel32,我想跟踪/记录API调用从用户模式到内核模式的整个流程。例如，如果用户模式应用程序调用FindFirstFile（）API，我想记录以下内容： FindFirstFile->NtQueryDirectoryFile->SYSCALL->KiSystemService->KiFastCallEntry->NtQueryDirectoryFile->IRP-> 今天有什么程序可以做到这一点吗？（Rohitab API监视器可以执行用户模式API跟踪，但不能同时执行两者）。如果没有，发展这种能力最

我想跟踪/记录API调用从用户模式到内核模式的整个流程。例如，如果用户模式应用程序调用FindFirstFile（）API，我想记录以下内容：

FindFirstFile->NtQueryDirectoryFile->SYSCALL->KiSystemService->KiFastCallEntry->NtQueryDirectoryFile->IRP->

今天有什么程序可以做到这一点吗？（Rohitab API监视器可以执行用户模式API跟踪，但不能同时执行两者）。

如果没有，发展这种能力最优雅的方式是什么

由于ProcExplorer提供了完整的线程跟踪，因此也可以这样做。我找到了这个网站，它解释了如何实现内核模式GetThreadContext（），以完成堆栈图片（使用StackWalk64）

是的，您可以通过使用windbg来实现这一点这是微软的程序，可以调试用户模式和内核模式

你可以从这里开始

如果你想了解这一点，并看到一些这样做的例子，你也可以在这里看到

祝你好运：-）