如何在内核模式下捕获Etw?

问题描述 投票:0回答:1

[我正在尝试在驱动程序中使用Etw捕获一些系统调用,更准确地说,我需要捕获NtWriteVirtualMemory和NtReadVirtualMemory用户模式调用,我尝试使用提供程序:Microsoft Windows Threat Intelligence,我使用PerfView来转储Windows的Threat Inteligence xml 10 1909 and used message compiler to compile the manifest(正是微软所说的做)并选中了Microsoft Etw sample code,但由于某种原因,我的回调仅被调用了一次(当在我的DriverEntry中调用EtwRegister时),以注册我的回调我只是打电话给EtwRegister,应该为我的回调做些什么?我正在将Microsoft示例代码与mc.exe(消息编译器)

生成的头文件一起使用
windows kernel driver etw
1个回答
0
投票

您查看的示例是针对ETW提供商,而不是消费者。我不确定是否有记录的方法可以从内核使用ETW事件。您可以从用户模式检查样本中是否有消耗事件:https://github.com/microsoft/Windows-driver-samples/tree/master/general/tracing/SystemTraceControl

还要注意,Microsoft Windows威胁情报ETW提供程序只能在反恶意软件PPL类型的过程中使用。它需要具有匹配的AntiMalware服务的Early Launch AntiMalware驱动程序。有关更多信息,请访问:https://docs.microsoft.com/en-us/windows-hardware/drivers/install/early-launch-antimalwarehttps://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.