探索Windows 10的ETW事件:无尽的数据宝藏

于 2024-05-27 09:38:44 发布
阅读量534 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00008/article/details/139227775
版权

探索Windows 10的ETW事件:无尽的数据宝藏

去发现同类优质开源项目:https://gitcode.com/

1、项目介绍

Windows 10 ETW Events 是一个开源项目,它收集并整理了从Windows 10版本1511到最新的21H2所有manifest-based和mof-based ETW(事件追踪)提供者的详细事件数据。这个项目不仅提供了对操作系统底层活动的深入了解,还为安全分析师、开发人员以及系统管理员提供了宝贵的信息资源。

2、项目技术分析

ETW(Event Tracing for Windows)是微软提供的一个强大的系统级日志和诊断工具。它允许系统组件和应用程序记录详细的事件信息,这些信息可以用于性能监控、故障排查以及安全分析。本项目通过解析ETW提供者的XML元数据,整理出每个版本中可用的事件数量、提供者类型等关键信息,并以表格形式清晰展示。

项目同时还提供了JSON和YAML格式的数据字典,方便开发者在不同的场景下灵活使用这些数据。此外,项目维护者还分享了一系列由业界专家编写的参考文献和技术资源,帮助用户深入理解ETW技术和其实现方法。

3、项目及技术应用场景

  • 安全监测:通过对ETW事件的监控,安全团队可以检测潜在的威胁行为,如恶意软件活动或权限滥用。
  • 故障诊断:当系统出现问题时,通过回溯ETW事件可以定位问题发生的上下文,加速问题解决过程。
  • 性能优化:分析ETW事件流可以帮助识别性能瓶颈,从而优化应用或系统的性能。
  • 开发调试:软件开发者可以利用ETW事件来调试代码,了解运行时的行为和状态。

4、项目特点

  • 全面覆盖:涵盖多个Windows 10版本的ETW事件,提供详尽的数据对比。
  • 结构化数据:以表格形式呈现,同时支持JSON和YAML格式,便于数据处理和分析。
  • 社区支持:引用了多位业内专家的工作成果,形成丰富的学习资源库。
  • 实时更新:随着新版本的发布,项目会持续跟踪更新事件数据。

总的来说,Windows 10 ETW Events 是一款不可多得的工具,无论你是热衷于系统监控的技术爱好者还是专业的IT运维人员,都能从中受益匪浅。现在就加入这个开源项目,发掘Windows操作系统中隐藏的珍贵数据吧!

去发现同类优质开源项目:https://gitcode.com/

柳旖岭
关注
wtrace:Windows的命令行跟踪工具,基于ETW
04-01
跟踪 该项目的主页位于 。 Wtrace [spelled: wɪtreɪs ]是一个命令行工具,用于记录来自操作系统或一组进程的跟踪事件。 Wtrace可以收集文件I / O和注册表操作, TPC / IP连接和RPC调用等内容。 它的目的是使您对系统中正在发生的事情有一些了解。 此外,它具有各种筛选功能,并且还可能在跟踪会话结束时转储统计信息。 由于它只是一个标准的命令行工具,因此您可以将其输出通过管道传输到另一个工具以进行进一步处理。 它可以在Windows 8.1+上运行,并且需要.NET 4.7.2+。 Wtrace只是一个可执行文件wtrace.exe,您可以从下载它。 可用的选项在下面列出。 请检查以了解有关它们的详细信息和一些用法示例。 Usage: wtrace [OPTIONS] [pid|imagename args] Options: -f, --f
windows ETW training course
02-10
this is the ETW overview training course, and will give you are brief introduction of how to use ETW.
windows事件跟踪--ETW(Event Trace For Windows)
07-19 8960
ETW主要包括3个component:Controller, Provider, and Consumer. 这3个的角色从名字一看就清楚了。 我简单介绍一下使用的方法: Provider首先应该用RegisterTraceGuids注册一个Event Trace,同时提供给RegisterTraceGuids的还有一个ControlCallback,这个callback在P
ETW (Event Tracing for Windows)介绍
weixin_34038652的博客
08-30 643
ETW主要包括3个component:Controller, Provider, and Consumer. Controller的主要任务有两个: 一是,用StartTrace在内存中创建一个event trace session。刚创建时,这个session是没有跟任何provider关联的,也就不会任何数据被写到这个session的buffer中,,当然这一步也是可以完成关联的,那就是把St...
ETW
huanongying131的博客
10-29 699
https://docs.microsoft.com/zh-cn/windows/desktop/ETW/event-tracing-mof-classes
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 4054
Windows提供了统一的跟踪和记录事件的机制,称为ETW(Event Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
Windows10EtwEvents:来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件
03-21
Windows 10 ETW事件 来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件 版本 大事记 清单提供者 MOF提供者 未知的提供者 1511 43,319 811 195 24 1607 45,569 830 193 23 1703 46,532 842 ...
Windows ETW技术详解:高效事件追踪
在入门ETW的过程中,读者将了解到如何创建和使用EventSource来发布事件,如何设置和控制ETW会话,以及如何使用TraceEvent库进行事件数据的捕获和分析。通过ETW入门书籍,读者可以深入理解ETW的工作原理,并掌握其在...
EtwTools:用于Windows事件跟踪(ETW)的API
03-29
Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种高效、低开销的系统级日志记录机制,广泛应用于诊断、性能分析和监控。EtwTools是一个专门针对ETW的API,它允许开发者以编程方式与ETW交互,创建、管理...
Windows ETW入门培训:追踪与调试利器
Windows Event Tracing (ETW) 是一种高级事件日志技术,由Microsoft的Windows Kernel Team开发,旨在提供更精细、灵活和可扩展的系统监控和调试能力。这个培训课程,由Alex Bentetov(alexbe@microsoft.com)主讲,...
WindowsAppEtw:windows下采用etw方式记录程序运行关键点,然后根据生成的etl日志进行分析
05-10
WindowsAppEtw windows下采用etw方式记录程序运行关键点,然后根据生成的etl日志进行分析.这里主要是记录etw的使用,当然可以方便的扩展带其他pc上客户端程序的使用。 #概述 Event Tracing for Windows (ETW) provides application programmers the ability to start and stop event tracing sessions, instrument an application to provide trace events, and consume trace events. Trace events contain an event header and provider-defined data that describes the current state of an app
PresentMon:用于在Windows上收集和处理与框架表示相关的ETW事件的工具
04-29
PresentMon PresentMon是用于捕获和分析与Windows上的交换链表示相关的事件的工具。 它可用于跟踪图形应用程序的关键性能指标(例如,CPU和显示帧的持续时间和延迟),并可在不同的图形API,不同的硬件配置以及台式机和UWP应用程序中使用。 虽然PresentMon本身专注于轻量级的收集和分析,但还有其他一些程序可以基于其功能和/或帮助可视化结果数据。 例如,请参阅 (用作其) 执照 版权所有2017-2021英特尔公司 特此免费授予获得此软件和相关文档文件(“软件”)副本的任何人无限制地处理软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,分发,再许可和/或出售本软件的副本,并允许具备软件的人员这样做,但须满足以下条件: 以上版权声明和此许可声明应包含在本软件的所有副本或大部分内容中。 本软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但
ETW入门书籍
06-22
ETW入门是一套不错的电子书,收货很大。
etwbreaker:一个IDA插件,用于处理Windows事件跟踪(ETW
03-09
ETWBreaker尝试查找有关静态编译到Windows模块中的ETW提供程序的所有参考。 基于清单的提供者 ETWBreaker将尝试查找资源名称WEVT_TEMPLATE 。 此资源包括模块的ETW清单。 一旦获得所有可用事件,就可以计算签名并...
Event Tracing for Windows(ETW) - 前言 事件跟踪 译(1)
勿以恶小而为之,勿以善小而不为
05-12 960
Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 意欲 ETW(Event Tracing for Windows)
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8474
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
最新发布
0pr
03-06 2103
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
Event Tracing for Windows(ETW) - 代码示例:创建会话和启动基于清单的提供者 译(8)
勿以恶小而为之,勿以善小而不为
05-14 780
Example that Creates a Session and Enables a Manifest-based or Classic Provider 原文链接 作者:Microsoft 译者:塔塔塔塔塔 以下示例显示了如何启动跟踪会话,启用基于清单的提供程序或经典提供程序,禁用提供程序然后停止会话。 #include <windows.h> #include <stdio.h> #include <conio.h> #include <strsafe.h&
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳旖岭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值