最近,我发现有一些ETW减少提供程序,它们基本上允许枚举系统资源,以填补可能缺少完整跟踪上下文的事件的空白。例如,Process Hacker uses内核中断记录器将枚举其他内核事件与之相关的所有打开的文件对象,以获取I / O操作中涉及的完整文件名。我想知道崩溃的内核提供程序是否还能够收集其他资源(除了进程,线程,图像之外),例如注册表项或系统句柄?
答案 0 :(得分:0)
您可以尝试将TdhEnumerateProviderFieldInformation
与EventKeywordInformation
一起使用来检索关键字。文件上还有一个示例。