有没有办法在ProcMon中捕获_stat()
C运行时函数
答案 0 :(得分:2)
不直接,因为(正如@Preet Sangha解释的那样)它在CRT级别以下工作。但是,它确实显示了一个调用堆栈,_stat
确实访问了一个文件。因此,如果ProcMon可以访问您的可执行符号并且您知道要监视哪个文件,则可能会在该文件访问的调用堆栈中看到_stat
。
如果这还不够,请进一步描述您的方案。
请注意,在代码级别有挂钩工具 - 请参阅How can I hook Windows functions in C/C++?
答案 1 :(得分:1)
ProcMon拦截Window级别的调用(特别是我认为的NTxxxx和ZWxxxx调用)。这些方式比C runt时间库低 - 所以我怀疑没有。