不完善的api覆盖率带来更多的是限制而不是对稳定性的需求。总之,通过跟踪native api调用能收集到如此多的有关程序内部信息的有用数据,还是很令人惊讶。例如,我可以简单的通过观察由微软提供的netware redirector(nwrdr.sys)对ntfscontrolfile()的使用(traffic)来深入了解netware core protocol(ncp)的运作。因此,这种监控api的方法的确是一种非常专业的备选方案,通过它我们可以从windows 2000中获取我们感兴趣的数据。
next:
接下来,我们将开始第六章的学习:如何在用户模式下调用内核函数
