查找当前NT内核日志

Question

我正在查看Windows的事件跟踪，根据我所运行的文档和一些测试，如果已经有一个内核记录器正在运行，则该API在调用ERROR_ALREADY_EXISTS时发送一个StartTrace。

如果使用EVENT_TRACE_CONTROL_QUERY，调用ControlTrace，您可以获得当前日志记录会话的线程id，但是由于会话的启动是由Windows内核处理的，所以我总是得到一个属于系统进程(PID=4)的线程id。

我的问题是:您能找到真正启动日志记录会话的人吗？

谢谢!

Answer 1

“你能找到真正启动日志记录的人吗？”正如您所说的，它是由系统进程启动的。系统进程开始监视内核级别的文件、磁盘、进程活动，从而启用已经启动的NT内核记录器session.If，然后您就可以从中吸取事件，而不需要知道是谁启动了会话。