使用ProcMon及windows symbols进行文件操作类API定位

一直想使用ProcMon进行文件操作类API跟踪，但一直未能成功，今天终于实现，现与大家分享。

我使用的是ProcMon2.8，大家到微软网站下载适合自己操作系统版本的Symbols文件。安装Symbols文件后，打开ProcMon，选择Options->Configure Symbols，弹出如下对话框









请在SymbolPaths下填写你的Symbols文件所在路径，我的是c:/windows/Symbols;同时最为重要的一点，请将对应的DLL或EXE文件所在路径填写，如Kernel32.dll一般在c:/windows/system32/;目录下，驱动一般在c:/windows/System32/drivers; 此乃成功之关键。呵呵。

至此，你可以开始捕获数据，然后暂停捕获，选择一个如文件处理类的event，双击，选择Stack，出现如下对话框，一切尽在掌握中。呵呵。







希望对你有帮助。如果有问题，请沟通。