Question

Манифест поставщика указывает, что он может отправлять Microsoft-Windows-Kernel-Process::ProcessRundown::Info событий, которые мне бы очень хотелось иметь: они дают сводку процессов, которые существовали на момент начала трассировки.

Также есть MSNT_SystemTrace::Process::DCStart, которые легко получить (запросив EVENT_TRACE_FLAG_PROCESS), но данные в этих событиях не позволяют найти путь к образу процесса: поле ImageFileName - это имя файла ANSI без пути, а поле CommandLine также ненадежный, потому что он может содержать относительный путь (в худшем случае вообще не путь).

Codeguard · Answer 1 · 06 августа 2020

После долгих попыток я нашел очень простой способ: после того, как провайдер будет включен с помощью EnableTraceEx2(EVENT_CONTROL_CODE_ENABLE_PROVIDER), дополнительный EnableTraceEx2(EVENT_CONTROL_CODE_CAPTURE_STATE) будет отправлять события.

Как в ETW включить события ProcessRundown для Microsoft- Windows -Kernel-Process?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как в ETW включить события ProcessRundown для Microsoft- Windows -Kernel-Process?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы