Skip to content

标题: ETW之Microsoft-Windows-Kernel-*

创建: 2017-08-25 16:20 更新: 链接: https://scz.617.cn/windows/201708251620.txt

eventvwr.msc->查看->显示分析和调试日志 eventvwr.msc->应用程序和服务日志->Microsoft->Windows->Kernel-*->Analytic->右键->启用日志

1) Kernel-Disk

0 0x60043 4096 0 3176529920 0xfffffa800e62ce10 0xfffffa8013208230 326

IORequestPacket这个没有意义,等你看到日志的时候IRP已经销毁了。但FileObject 可能还在,可以用windbg查看。

2) Kernel-Network

TCPv4: 已从 127.0.0.1:23393 到 127.0.0.1:4322 传输了 21 个字节。 ... 7548 21 16777343 16777343 57872 24923 31151725 31151725 0 0

居然能看到127.0.0.1相关的Loopback报文,"netsh trace start capture=yes"以前 做不到这点,不知现在行不行?

3) Kernel-Process

进程 3392 使用名称 \Windows\System32\rpcrt4.dll 加载了图像。 ... 0x7fefecd0000 0x12d000 3392 1228156 1497307770 0x7fefecd0000 \Windows\System32\rpcrt4.dll

这句,加载了图像,不是我翻译的,不要吐我,那是微软日志系统的原装货。类似这 种狗屎一样的不伦不类的翻译,在Windows里很多,微软根本顾不过来,外包翻译团 队干的吧。所以我在cmd里都chcp 437,以防不知所云。

ETW如果用好了,可能很有意义,我没深究过,这里只是顺手记录一笔备忘。