是否有办法获得_stat() C运行时函数捕获在ProcMon
不直接,因为(正如@Preet Sangha所解释的)它在CRT水平下工作。但是,它确实显示了一个调用堆栈,并且_stat确实访问了一个文件。因此,如果ProcMon可以访问你的可执行符号,并且你知道要监视哪个文件,你可能会在该文件访问的调用堆栈中看到_stat。
如果这还不够,请进一步描述您的场景。
请注意,有一些工具可以在代码级别挂钩-参见如何在C/c++中挂钩Windows函数?
ProcMon在窗口级别拦截调用(特别是NTxxxx和ZWxxxx调用,我认为)。