winapi - Windows 上的低开销 I/O 监控

Question

我想要一种低开销的方法来监视 Windows 进程的 I/O。

我得到了关于 Monitoring certain system calls done by a process in Windows 的几个有用答案.最有前途的是使用 Windows Performance Toolkit 获取内核事件跟踪。所有必要的信息确实可以从那里提取，但 WPT 对我需要的东西来说是一个巨大的矫枉过正，并且随后有一个令人望而却步的开销。

我的想法是实现一种替代方法来检测 C/C++ 依赖关系图。通常这是通过向编译器传递一个选项(例如 -M)来完成的。这对于具有这种选项的编译器和工具来说效果很好，但并非所有编译器和工具都有，而且那些经常以不同方式实现它们的编译器和工具。因此，我在 Linux 上实现了一种替代方法，使用 strace 来检测打开了哪些文件。以这种方式运行 gcc(例如)有 50% 的开销(大概数字)，我希望找到一种方法在具有类似开销的 Windows 上执行此操作。

xperf 工具集有两个问题使我无法在这种情况下使用它们:

• 无法监控单个进程的文件 I/O 事件；我必须使用跟踪每个进程的内核事件跟踪，从而生成大量数据(运行 gcc、YMMV 所需的时间为 15Mb)。
• 由于必须使用内核事件跟踪，我必须以管理员身份运行。

我真的不需要内核级别的事件；我想如果我可以只监视 Win32 API 调用 CreateFile() 和可能的 CreateProcess()(如果我想捕获 fork 进程)，我也可以管理得很好。

有什么好主意吗？

Answer 1

使用 API Hook 。在 ntdll 中挂接 NtCreateFile 和其他一些调用应该就足够了。我有很好的经验使用 easyhook 作为框架来进行 Hook 本身 - 免费和开源。如果您想这样做，甚至可以支持托管 Hook (c# 等)。设置起来非常容易。

它位于 http://easyhook.codeplex.com

编辑:顺便说一下，detours 不允许 64 位 Hook (除非您以 10,000 美元的名义价格购买许可证)EasyHook 不允许跨 WOW64 边界的 native Hook 。不过，它允许跨 WOW64 边界进行托管 Hook 。