Пытаетесь понять, как на самом деле работают данные провайдера ETW Microsoft-Windows-Networking-Correlation?
Он предназначен для корреляции сетевых событий и захватов пакетов NDIS с процессами?
I 'Мы проследили события и попытались выяснить взаимосвязь.
Я посмотрел на https://github.com/DigitalOperatives/PAINT-Wireshark, но я не очень силен в C ++ и не могу выработать логику
Здесь, в stackoverflow, кажется, люди знают, как это сделать, но я не могу решить это сам: Ядро Windows ставит в очередь исходящие сетевые соединения