我一直在调查 ETW 的进程/文件/注册表/网络监控。它看起来像在 Win7 上它拥有我需要的一切。但是,在 XP 上,它似乎缺乏相同级别的细节。具体来说,对于文件 IO,似乎只记录了“FileCreate”事件,并且进程创建事件没有给出完整路径。
是否可以确定何时使用 ETW 在 XP 上写入文件?流程启动事件的完整路径如何?
问问题
365 次
我一直在调查 ETW 的进程/文件/注册表/网络监控。它看起来像在 Win7 上它拥有我需要的一切。但是,在 XP 上,它似乎缺乏相同级别的细节。具体来说,对于文件 IO,似乎只记录了“FileCreate”事件,并且进程创建事件没有给出完整路径。
是否可以确定何时使用 ETW 在 XP 上写入文件?流程启动事件的完整路径如何?