标签: windows-xp windows-server-2003 etw
我一直在调查ETW的进程/文件/注册表/网络监控。看起来它在Win7上它拥有我需要的一切。然而,在XP上它似乎缺乏相同的细节水平。具体来说,对于文件IO,似乎只记录“FileCreate”事件,并且进程创建事件不会提供完整路径。
是否可以确定何时使用ETW在XP上写入文件?那么流程启动事件的完整路径怎么样?
答案 0 :(得分:1)
从Vista MS开始,为Windows添加了许多ETW提供程序。 XP / Server只有少数几个。所以你无法解决这个问题。