Есть ли что-то вроде linux ptrace syscall в Windows?

Question

Чтение Monitoring certain system calls done by a process in Windows Мне интересно, как Windows эквивалентна системному вызову ptrace или программному обходному пути.

Answer 1

Вы можете использовать ETW для отслеживания системных вызовов. При запуске трассировки в EVENT_TRACE_PROPERTIES вы можете добавить флаг EVENT_TRACE_FLAG_SYSTEMCALL в EnableFlags. Это позволяет событиям SysCallEnter и SysCallLeave, как описано here.