您好。我试图记录在Windows 7中调用的特定系统调用(win32k)。我已经尝试了几种方法。我尝试的第一件事是drstrace。它是我需要的确切输出类型(函数名称,参数和返回值),但并非所有系统调用都被记录。我不是100%确定为什么会发生这种情况,但使用NtGdiFlush会立即调用类似NtGdiSet~类型的系统调用,因此无法在用户级别捕获这些系统调用。
接下来我尝试了logman和xperf,这些似乎记录了那些drstrace无法解决的函数,但它们没有解析系统调用名称(实际上这不是什么大问题),并且他们没有记录参数。并且它确实记录了系统调用的返回值,但它与返回值来自哪个调用不匹配,这是一个大问题。
我已经考虑过在内核级别构建一个挂钩函数的驱动程序,但是我从来没有开发过驱动程序而且它运行得不好......
所以我想问一下是否有程序可以做到这一点,或者我如何构建一个可以记录我想要的驱动程序?