记录外壳活动有很多好处，比如当需要监控用户的行为，回溯系统崩溃前的过程。实现这一功能的关键工具相当简单，它就是COM接口IShellExecuteHook。编写一个实现了这一接口的COM对象后，再在系统中注册，就可以容易地控制并影响Windows外壳的运行。Windows 98和Windows 2000都支持IShellExecuteHook外壳扩展，而在Windows 95和Windows NT 4.0上则必须安装活动桌面扩展后才支持（也就是说必须安装IE 4.01）。

　　一个实现了IShellExecuteHook接口的COM对象可以截获所有对ShellExecute和ShellExecuteEx函数的调用。ShellExecute和ShellExecuteEx函数主要用于执行应用程序，它们可以接收一个文件名并能自动获得同文件名相关的可执行文件名。此外，它们还支持系统安全认证。如果在NT上设定了用户的可执行权限，ShellExecute和ShellExecuteEx函数将会在创建新的进程前检查权限(CreateProcess和WinExec函数则没有这项功能)。函数调用的流程如下：

　　（1）获得将要运行的可执行文件名。

　　（2）根据程序名检查用户执行权限。

　　（3）激活全部已注册的IshellExecuteHook扩展。

　　（4）当所有扩展和权限都同意执行，创建新的进程并返回。

　　Windows外壳大量调用ShellExecute和ShellExecuteEx函数来执行几乎是所有的资源管理器的操作，比如双击目录、浏览文件夹内容、打印编辑文档、查看文件属性、选择文档的上下文相关菜单等等。此外，开始菜单的运行对话框和DOS方式下的Start.exe也使用ShellExecuteEx函数来执行程序。简单地说几乎用户的所有外壳操作都可以被扩展截获，包括其他应用程序对ShellExecute和ShellExecteEx的调用。

　　编写外壳活动记录器

　　首先需要创建一个进程内COM对象，选菜单命令New | ActiveX Library，然后点击菜单New|Com Object，创建COM对象框架，按图2.14填充对话框的内容，然后点击OK按钮。Delphi就会自动生成框架文件，并保存生成的文件。