为什么不使用现有工具来完成这项工作？

如果您只是想监控哪些文件被访问，我建议您使用Process Monitor：Process Monitor是 Windows 的高级监控工具，可显示实时文件系统、注册表和进程/线程活动。

如果您想查看正在读取或写入的数据，我建议您使用Rohitab API Monitor：API Monitor是一款免费软件，可让您监控和控制应用程序和服务进行的 API 调用。它是查看应用程序和服务如何工作或跟踪您自己的应用程序中存在的问题的强大工具。

这两个工具都是免费的。

我建议使用hooking。

挂钩时，您可以在要在内存中挂钩的函数开始处修补一些字节以重定向到您自己的代码。完成您想要的任何操作后，您就可以返回到原始实现。

有各种教程和实现可以为您做到这一点。

也许这是开始您的好资源。祝你好运。

这是我的绕行功能：

const void* DetourFunc(BYTE* const src, const BYTE* dest, const DWORD length)
    {
        BYTE* jump = new BYTE[length + 5];
        for (int i = 0; i < sizeof(detourBuffer) / sizeof(void*); ++i)
        {
            if (!detourBuffer[i])
            {
                detourBuffer[i] = jump;
                break;
            }
        }

        DWORD dwVirtualProtectBackup;
        VirtualProtect(src, length, PAGE_READWRITE, &dwVirtualProtectBackup);

        memcpy(jump, src, length);
        jump += length;

        jump[0] = 0xE9;
        *(DWORD*)(jump + 1) = (DWORD)(src + length - jump) - 5;

        src[0] = 0xE9;
        *(DWORD*)(src + 1) = (DWORD)(dest - src) - 5;

        VirtualProtect(src, length, dwVirtualProtectBackup, &dwVirtualProtectBackup);

        return jump - length;
    }

用法： DetourFunc ((BYTE*)oFuncAddr, (BYTE*)&hkFunc, 5);