我正在使用 Windows 事件跟踪 (ETW) 对 Windows Server 2008 R2 中的系统调用进行内核跟踪。
我在跑步:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets
在生成的内核跟踪中,我正在查看 SysCallAddress 属性,我看到了很多我所期望的:例如 0xFFFFF80001999EE0,它是 nt!NtWriteFile。
问题是我在 0xFFFFF960 范围内看到很多地址,例如 0xFFFFF9600004421C,我不知道这些地址是什么。内核调试器中的 ln 命令不返回任何这些地址的信息。有人知道内核跟踪器将这些地址视为系统调用的内容吗?