步驟 1
啟動 API 監視器。在本教程中,我們將使用 64 位版本,但 32 位版本也可以正常工作。
步驟 2
選擇要監控的 API。在本教程中,我們將監控CreateFileA、CreateFileW和NtCreateFile。我們將使用尋找功能來定位這些 API。單擊API 捕獲過濾器視窗中的某個位置,然後按CTRL+F或從選單中選擇編輯->尋找。輸入CreateFile並單擊尋找下一個按鈕。單擊 API 名稱旁邊的核取方塊以啟用它。啟用所有三個 API 後,繼續執行步驟 3。
步驟 3
現在我們需要選擇要監控的應用程式。您可以從選單中選擇檔->掛鉤行程,或者單擊掛鉤行程視窗中的掛鉤新行程按鈕。
步驟 4
這將開啟「掛鉤行程」對話方塊。單擊「行程」的「瀏覽」圖示並找到 notepad.exe。在「參數」下,輸入不存在的檔的名稱。「起始目錄」會自動填寫,無需更改。
步驟 5
單擊確定按鈕。這將啟動記事本,並顯示一個訊息方塊,指示找不到該檔。關閉訊息方塊並結束記事本。
步驟 6
Summary視窗現在應該列出Notepad所做的 API 呼叫。如下面的螢幕截圖所示,Notepad 呼叫kernel32.dll中的CreateFileW ,後者又呼叫NtCreateFile。該檢視還顯示返回值和錯誤程式碼。在本例中,NtCreateFile返回STATUS_OBJECT_NOT_FOUND,這導致kernel32.dll向Notepad返回INVALID_HANDLE_VALUE並設定Error 2。
