标题: ETW之Microsoft-Windows-Kernel-*
创建: 2017-08-25 16:20
更新:
链接: https://scz.617.cn/windows/201708251620.txt
eventvwr.msc->查看->显示分析和调试日志
eventvwr.msc->应用程序和服务日志->Microsoft->Windows->Kernel-*->Analytic->右键->启用日志
1) Kernel-Disk
--------------------------------------------------------------------------
0
0x60043
4096
0
3176529920
0xfffffa800e62ce10
0xfffffa8013208230
326
--------------------------------------------------------------------------
IORequestPacket这个没有意义,等你看到日志的时候IRP已经销毁了。但FileObject
可能还在,可以用windbg查看。
2) Kernel-Network
--------------------------------------------------------------------------
TCPv4: 已从 127.0.0.1:23393 到 127.0.0.1:4322 传输了 21 个字节。
...
7548
21
16777343
16777343
57872
24923
31151725
31151725
0
0
--------------------------------------------------------------------------
居然能看到127.0.0.1相关的Loopback报文,"netsh trace start capture=yes"以前
做不到这点,不知现在行不行?
3) Kernel-Process
--------------------------------------------------------------------------
进程 3392 使用名称 \Windows\System32\rpcrt4.dll 加载了图像。
...
0x7fefecd0000
0x12d000
3392
1228156
1497307770
0x7fefecd0000
\Windows\System32\rpcrt4.dll
--------------------------------------------------------------------------
这句,加载了图像,不是我翻译的,不要吐我,那是微软日志系统的原装货。类似这
种狗屎一样的不伦不类的翻译,在Windows里很多,微软根本顾不过来,外包翻译团
队干的吧。所以我在cmd里都chcp 437,以防不知所云。
ETW如果用好了,可能很有意义,我没深究过,这里只是顺手记录一笔备忘。