我收到了WinDbg日志和Process Monitor日志。其中一些项目显示在WinDbg和Process Monitor中,即模块加载事件。
我想如果我使用sxe -c ".echo Thread Exit;g" et或类似内容,我也可以跟踪线程退出事件。但是,我想不出一个简单的解决方案来跟踪注册表访问和文件加载事件。
有没有办法像Win Monitor一样跟踪WinDbg中的注册表调用?
最好是跟踪所有ETW调用,所以我也在WinDbg日志中访问文件。
答案 0 :(得分:2)
我只能考虑在Registry Functions上设置断点为:
bu ADVAPI32!RegQueryValueExW ".echo RegQueryValueExW; g;"
bu ADVAPI32!RegQueryValueExA ".echo RegQueryValueExA; g;"
断点命令字符串回显断点名称,然后继续该程序。
答案 1 :(得分:1)
见 http://blogs.msdn.com/b/debuggingtoolbox/archive/2007/04/14/windbg-script-tracing-api-calls.aspx
不幸的是,logexts有一些bug并且在某些操作系统上不起作用(也许你需要关闭DEP)