ETW系统调用跟踪参数

时间:2017-10-07 19:25:37

标签: system-calls etw windows-kernel

我使用" logman"在ETW中提取系统调用跟踪。命令。

然后我使用tracerpt将文件转换为文本,并使用windbg将地址转换为符号。没问题。

我的问题是在我得到符号名称之后。我知道,例如,NTOpenFile被调用。如何判断哪个文件

一般情况下,如何提取系统调用参数? xperf有帮助吗?

1 个答案:

答案 0 :(得分:0)

您无法获取参数。 Microsoft不提供此详细级别。您也无法获得进程ID或线程ID,这使得它对于分析非常无用。您获得的只是系统调用的内核RIP地址,您可以使用自己的符号查找来解析该地址。