请问大侠,如何得到一个可执行文件(非调试版本)所调用的API?

i c ,use view dependences

解决方案 »

  1.   

    NTSTATUS LsaAddAccountRights(
      LSA_HANDLE PolicyHandle,     
      PSID AccountSid,             
      PLSA_UNICODE_STRING UserRights,
      ULONG CountOfRights            
    );
    我也不能肯定,仅供参考。
      

  2.   

    我用我的API HOOK工具帮你转了一下,以下是截获的API调用
    运行环境: NT40 workstation
    API HOOK命令: launch "Net accounts"
    API HOOK DLL: netapi32.dll kernel32.dll advapi32.dll mpr.dll samlib.dll netpar.dll rpcrt4.dll(可用dependences确定)API 调用名字和顺序:
    kernel32.dll GetConsoleOutputCP
    kernel32.dll GetCPInfo
    kernel32.dll GetSystemDefaultLangID
    kernel32.dll SetThreadLocale
    kernel32.dll GetCommandLineW
    kernel32.dll GetModuleFileNameW
    netapi32.dll NetApiBufferAllocate
    netapi32.dll NetApiBufferAllocate
    kernel32.dll GetCommandLineW
    netapi32.dll NetApiBufferAllocate
    kernel32.dll CreateProcessW
    kernel32.dll CloseHandle
    kernel32.dll GetExitCodeProcess
    kernel32.dll CloseHandle
    netapi32.dll NetApiBufferFree
    netapi32.dll NetApiBufferFree
    kernel32.dll GetCommandLineW由此可以得知, "Net accounts"是通过启动另一个子进程来完成的! 而不是由Net直接完成的.