当我想启用ETW跟踪来接收驱动程序事件时,我会这样做:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (driver) -o s.etl -ets
所以在某台机器上运行上面的命令后,计算机崩溃了。在分析内存转储后,我发现问题是由" TAOKernel64.sys"这是由一家名为“腾讯”的中国公司开发的。删除安装该驱动程序的程序(QQ PC管理器)后,问题就解决了。
我有两个主要问题:
1 - 从ETW接收驱动程序事件是否要求所有驱动程序正常工作?那么我们是否可以安装并启用(但未使用)有缺陷的驱动程序并使用ETW而不会导致BSOD?或者我遇到了一个完全不同的问题?
2 - 我们可以在ETW中过滤掉一些这些驱动程序(实时还是离线)?例如,告诉ETW不要从该.sys文件中收集驱动程序事件?