監控Windows平台的cmd.exe輸入指令

在Linux監控使用者輸入指令(Bash)可以使用audit工具，那麼如果在Windows環境下要如何監控cmd.exe的輸入指令呢 ? 從網路上查一下相關資訊，只發現按F7會出現指令的紀錄，沒辦法像audit即時紀錄指令，因此我們只好自己開發了。

一、F7紀錄指令

在cmd.exe按F7可以跳出使用者輸入指令的歷史，不過這不是我們想要的。



二、指令攔截位置

從4AD02C84的函式來看，rcx是獲取指令(dir)的參數，因此只要將它輸出到檔案，就能實現即時紀錄指令的功能。



三、指令輸出結果