Недавно я выяснил, что есть провайдеры кратких описаний ETW, которые в основном позволяют перечислять системные ресурсы с целью восполнения пробелов в событиях, которые могут не иметь полного контекста трассировки.Например, Process Hacker использует средство ведения журнала ядра, чтобы перечислить все открытые файловые объекты, с которыми коррелируют другие события ядра, чтобы получить полное имя файла, которое задействовано в операции ввода-вывода.Я хотел бы знать, может ли провайдер ядра в развернутом состоянии собирать другие ресурсы (кроме процессов, потоков, образов), например ключи реестра или системные дескрипторы?