如何在内核模式下捕获Etw？

Question

我试图在我的驱动程序中使用Etw捕获一些系统，更准确地说，我需要捕获NtWriteVirtualMemory和NtReadVirtualMemory用户模式调用，我尝试使用提供程序：微软Windows威胁情报，我使用PerfView来转储Windows101909并使用消息编译器编译清单。的威胁性IntelienceXMLforWindows101909并使用消息编译器编译清单。(正如微软所说的那样)，并检查Microsoft Etw示例代码，但出于某种原因，我的回调只被调用一次(当EtwRegister在DriverEntry中被调用时)，注册我的回调--我刚刚调用了EtwRegister，我应该怎么做才能调用回调？我使用Microsoft示例代码和由mc.exe(消息编译器)生成的头文件。

Answer 1

您查看的示例是针对ETW提供者的，而不是针对消费者的。我不确定是否有一种记录在案的方式可以从内核中使用ETW事件。您可以从用户模式( https://github.com/microsoft/Windows-driver-samples/tree/master/general/tracing/SystemTraceControl )检查使用事件的示例。

还请注意，Microsoft Windows威胁智能ETW提供程序只能在反恶意软件PPL类型进程中使用。它需要一个具有匹配的AntiMalware服务的早期启动的AntiMalware驱动程序。欲了解更多信息，请访问：https://learn.microsoft.com/en-us/windows-hardware/drivers/install/early-launch-antimalware https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-