windows下如何观察一个进程的系统调用

---

ntdll当中导出的大多是Native API，实际上也不需要做的这么底层，大多是一个全局没神凯HOOK，如果带驱动应该就是内核HOOK，不过内核一般不稳定，估计这种可能性不大！枯唤瞎型

---