Systrace for Windows

Question

我正在寻找一款Windows版的Systrace，或者至少是strace。我知道StraceNT，但我想知道是否有更多的替代品。具体地说，我正在寻找一种特定的方法来以编程方式强制执行系统调用策略，尽管这可以是事后的，而不是主动地阻止它们。

目前有没有好的方法来做到这一点呢？

Answer 1

WinDbg的Logger.exe最接近strace：https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/logger-and-logviewer

编辑:还有windbg的wt：https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/wt--trace-and-watch-data-

Answer 2

以下是几个选项：

Process Monitor

此外，请参阅这篇文章，了解Windows 7内置的工具：

Core OS Tools

Answer 3

Dr.Memory( http://drmemory.org/strace_for_windows.html )工具附带了一个名为drstrace的系统调用跟踪工具，它列出了目标应用程序进行的所有系统调用及其参数:drstrace

对于以编程方式实施系统调用策略，您可以使用与drstrace相同的底层引擎: DynamoRIO工具平台(http://dynamorio.org)和DrSyscall系统调用监控库(http://drmemory.org/docs/page_drsyscall.html)。它们使用动态二进制翻译技术，这确实会产生一些开销(在稳定状态下为20%-30%，但在运行新代码时会更高，例如启动一个大型桌面应用程序)，这可能适合也可能不适合您的目的。