アプリケーションのDeviceIoControl()システムコールをキャプチャする必要があります。 linuxでは、straceを使用してすべてのioctl呼び出しを分析できます。 Windowsに類似の機能はありますか?WindowsのプログラムのDeviceIoControl呼び出しを記録する方法
MSDNのWebサイトでは、実行可能ファイルのリアルタイムアクティビティを分析するための「プロセスモニタ」というプログラムが推奨されています。ただし、「Process Monitor」ではDeviceIoControl呼び出しについて何も表示されません。
OSRのIRPTrackerを試しましたか?
IrpTrackerは、あなたが完全に邪魔されずにプラグアンドプレイシステムを残して、任意のフィルタドライバを使用せずに、デバイス・オブジェクトへの参照を使用してシステム上のすべてのI/O要求パケット(IRP)を監視することができます。 IRPがドライバスタックと最終的な完了ステータスを取得するパスを見ることができることに加えて、IRPの静的部分の全内容と現在と前の解釈済みのビューを見ることができる詳細なビューが利用できますスタック位置。
DeviceIoControl()関数をキャプチャするには、APIフックを使用できます。私の会社は、高いレベルのインターフェイスを備えたフックエンジンDeviareを提供しています。フックすることについて自由に使えることをたくさん知る必要はありません(登録されていないバージョンを示すダイアログを表示するだけです)。これには、ソースコードを含むフックコンソールが含まれています。
博士メモリー(http://drmemory.org)ツールは、その引数とともに、NtDeviceIoControlFile含むターゲットアプリケーションによって行われたすべてのシステム・コールを、一覧表示システムコールトレースツールと呼ばれるdrstraceが付属しています:http://drmemory.org/strace_for_windows.html
は最近RohitabのAPI Monitor 発見しました2年間は更新されていませんが、Win7 x64でも動作します。非常に優れたAPIフィルタリング機能を備えています。