Windows XP ETW FileDeleted事件

时间:2014-11-11 20:41:07

标签: c++ windows windows-xp etw

我一直在广泛使用Windows ETW来收集有关我的C ++应用程序中的进程和文件的信息。我一直在将事件的MofData转换为适当的结构,以从事件中提取信息。在我在Windows XP上测试文件事件之前,它似乎工作正常。

我发现我没有在Windows XP上检查相应的类型,现在通过检查EVENT_TRACE.Header.Class.Type == 0获取FileIo_V1_Name事件(reference)来捕获文件创建的事件。这似乎运作得相当好,虽然我知道我必须做一些技巧来解决驱动器号。

知道这一点,我的问题是:有没有办法在Windows XP上通过ETW收集FileDeleted事件?我找不到与这些信息相关的课程。我知道在Windows Vista +中使用this类,但必须使用XP支持。我知道这是一个相当具体的话题,所以非常感谢任何信息。

0 个答案:

没有答案