我最喜欢的Windows工具是那些不仅能让你看到后台运行情况（可以这样说），还能让你了解引擎内部的工具。比如说Process Explorer，它一直是这种应用程序的王者。但是随着时间推移，我又发现了几个其它程序，它们可以弥补Process Explorer功能上的不足。其中最新的程序是Rohitab Batra创作的API Monitor。

　　根据API Monitor这个名字，我们不难猜测它的功能。它可以跟踪程序调用的应用程序接口（API），并让你通过几种方式来分析结果。该软件并不适用于初学者，因为它需要你对Windows API有一定的了解---否则，它返回的结果对你没什么用处。

　　API Monitor与你想要监视的程序同时运行。当你运行该程序时，你可以在窗口的左上角看到API列表，你可以在其中选择想要监视的API。窗口的左下角部分显示正在运行的进程。在其中一个进程上右击，点击Hook 选项，API Monitor就会将先前选中的所有该进程使用的API转储出来。

　　每个挂载（hooked）进程在Hooked Process窗口中就是一个副条目。展开该程序条目，你将会看到该进程用到的线程列表。请注意，被终止的线程是灰色的。选择一个线程，你将看到这个线程中的API调用列表。点击一个调用，你就会在另外一个子窗口中看到它的参数。

　　然而API Monitor的功能不仅局限于转储本地Windows API。它还可以使用第三方工具（如Mozilla）来预先定义API。如果你自己想为动态链接库（DLL）添加一个定义，那么你可以用简单的XML格式手动创建一个定义文件，并把它添加到该程序API的词典中。这些词典可以让你为API注册网络链接，也就是说如果你点击一个API名称，你就会在一个浏览器中看到这个名称的描述（比如说来自MSDN）。

　　还有很多教程，它们可以协助你完成某些常用的API Monitor任务，比如说从Internet Explorer上截获SSL加密的网络流量。看到这个请不必惊慌，请记住，这只是在本地计算机上截获流量，如果有人能够访问你机器的控制台，那么在安全方面就完蛋了。

　　API Monitor有两种版本---一种用于监视32位应用程序，另一种则用来监视64位应用程序。64位版本的Process Explorer能够分析32位的应用程序，但是API Monitor不一样，你只能用64位版本的API Monitor来分析64位的应用程序，反之亦然（你只能用32位版本的API Monitor来分析32位的应用程序）。此外，请注意有些程序在挂载或者非挂载时可能会崩溃，所以如果正在运行的程序使用的数据你没有备份过，请不要挂载该程序。

　　更老的版本---API 1.5版（只能监视32位应用程序），也是可用的，但是笔者更鼓励使用新版本，原因有二：新版本具有扩展的功能套件；新版本有助于揭示bug。

API Monitor