我使用" logman"在ETW中提取系统调用跟踪。命令。
然后我使用tracerpt将文件转换为文本,并使用windbg将地址转换为符号。没问题。
我的问题是在我得到符号名称之后。我知道,例如,NTOpenFile被调用。如何判断哪个文件?
一般情况下,如何提取系统调用参数? xperf有帮助吗?
答案 0 :(得分:0)
您无法获取参数。 Microsoft不提供此详细级别。您也无法获得进程ID或线程ID,这使得它对于分析非常无用。您获得的只是系统调用的内核RIP地址,您可以使用自己的符号查找来解析该地址。