我正在查看Windows API的事件跟踪,根据我运行的文档和一些测试,似乎已经运行了内核记录器,API发送 ERROR_ALREADY_EXISTS 致电StartTrace。
如果使用 EVENT_TRACE_CONTROL_QUERY 调用ControlTrace,则可以获取当前日志记录会话的线程ID,但由于Windows内核处理会话的启动,我总是得到属于System Process(PID = 4)的线程ID。
我的问题是:你能找到真正启动该日志记录会话的人吗?
谢谢!
答案 0 :(得分:0)
“你能找到真正启动该日志记录会话的人吗?” 正如你所说,它是由系统进程启动的。系统进程开始监视内核级文件,磁盘,进程活动,因此启用NT内核记录器会话。如果它已经启动,那么你可以从中吸出事件,没有必要知道是谁启动了会话..我猜。 / p>