跟踪监视方案概览 作者：彭春华 当我们对某一目标程序进行API函数的跟踪监视分析时，根据跟踪监视的目标，基本上有以下几种途径实现对API函数的跟踪监视： 写Log记录分析 如果拥有目标程序的源代码，就可以在关键的API函数的入口点和出口点记录API的参数和运行结果。在除错程序中是经常可以看到这种方法的。该方法的缺点就是必须拥有源代码，每次修改Log时必须重新编译源代码。由于该方案和我们要讨论的目标不同，在此不作讨论。 将监视代码注入目标程序

API钩子系统一般框架 通常，我们把拦截API的调用的这个过程称为是安装一个API钩子（API Hook）。一个API钩子基本是由两个模块组成：一个是钩子服务器（Hook Server）模块，一般为EXE的形式；一个是钩子驱动器（Hook Driver）模块，一般为DLL的形式。 钩子服务器主要负责向目标进程注入钩子驱动器，使得钩子驱动器运行在目标进程的地址空间中，这是关键的第一步，而钩子驱动器则负责实际的API拦截处理工作，以便在我们所关心的API函数调用的之前或之后能做一些我们