文档翻译---

于 2023-01-19 01:44:09 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安全 文章标签: c++
我是https://wochinijiamile.blog.csdn.net/的博主,手贱把号注销了
本文链接:https://blog.csdn.net/ma_de_hao_mei_le/article/details/128731989
版权

1

https://learn.microsoft.com/en-us/windows/win32/etw/nt-kernel-logger-constants

使用下面的变量识别NT内核的日志会话

SystemTraceControlGuid 用于标识NT内核日志事件跟踪会话的控制GUID
KERNEL_LOGGER_NAME NT内核日志事件跟踪会话的名称

NT内核日志会话是唯一可以接受来自内核事件产生者的会话

NT内核日志会话不接受来自其他事件产生者的事件

如果想要捕捉内核事件和其他事件产生者产生的事件,你必须使用两个分离的会话

ETW

Event Tracing for Windows

ETW提供了一个机制,该机制用于追踪和记录由用户和内核模式的应用程序产生的事件

ETW由Windows系统实现,并且给开发者提供了快速、可靠、多功能的事件追踪特性

ETW使用DEFINE_GUID宏来定义GUID

要想在你的代码中使用SystemTraceControlGuid,你必须在包含Evntrace.h头文件之前先定义#define INITGUID

编译器将会将DEFINE_GUID转换成GUID常量

下面的值定义了可能的NT内核日志会话可以跟踪的内核事件类GUID

你可以传入类GUID到SetTraceCallBack函数来针对每一个事件类进行特殊的处理

ma_de_hao_mei_le
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Event Trace 编程(TDH.lib)
sinat_30329511的博客
09-11 2870
Windows Event Trace 编程(TDH.lib)一. 配置和启动Event tracing Session 要配置一个事件跟踪会话,使用EVENT_TRACE_PROPERTIES结构来指定会话的属性。//待注释 typedef struct _EVENT_TRACE_PROPERTIES { WNODE_HEADER Wnode; ULONG Buff
Ts官方文档翻译-Generic范型
qq_40486952的博客
11-28 1083
TypeScript官方文档学习和翻译
Windows资源监视器软件的原理
浪子_三少(邮箱:basketwill@qq.com)
06-17 1258
微软给我们提供了一些很好的程序,比如资源监视器,可以从这个软件里获取分析windows的自身的一些性能数据,比如CPU、内存、磁盘数据、文件读写、进程线程等,他具体怎么实现呢,今天这天文章就带你去获取其真实的原理。
windows内核开发学习笔记四十六:事件追踪(ETW)
jyl_sh的专栏
07-07 3725
Windows提供了统一的跟踪和记录事件的机制,称为ETW(Event Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件。ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
.NET 性能测试工具 -- 事件跟踪器(ETW)
gnimgnot
12-26 3450
内容预告: Windows内置工具(性能计数器)事件跟踪器(WPT,PerfMoniter,PerfView,自定义ETW)时间分析内存分配分析内存使用量分析其他分析 Event Tracing for Windows(ETW)可以查看很多内核和CLR的性能数据,如下表所示,有几个工具都是基于ETW开发的,后面会详细介绍: Kernel PROC_THREAD Cre
UE4蓝图节点文档翻译 --- Set Material
灵月散人
02-05 3052
翻译人:灵月散人 参考的引擎版本:4.18.3 翻译内容仅作临时参考,目的是为了降低无基础者初期的学习门槛。当书写、交流、等实际使用时必须以英文为准 英文文档 Set Material 翻译 设置材质 注解 Changes the material applied to an element of the mesh. 请告诉我该怎么翻译...
Filebeat官方文档翻译-Filebeat overview
种花家的程序兔
04-10 1830
本文基于官方文档Filebeat Reference [6.1]-Filebeat overview章节翻译。地址 https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html#filebeat-overviewFilebeat概述Filebeat是一个日志文件托运工具。可作为一个客户端安装在你的服务器上...
fastapi官方文档翻译 -目录
热门推荐
Hiking_Yu的专栏
02-02 1万+
fastapi官方文档翻译 warmsirius 最新发布 最新评论 目录 fastapi教程翻译(前言):安装和运行 fastapi教程翻译(一):了解FastAPI结构 fastapi教程翻译(二):Path参数 fastapi教程翻译(三):Query参数 fastapi教程翻译(四):Request Body(请求体) fastapi教程翻译(五):Query参数 &amp...
Filebeat官方文档翻译-Getting Started With Filebeat
种花家的程序兔
04-10 2415
Filebeat官方文档翻译-Getting Started With Filebeat2018年1月10日 本文基于Filebeat官方文档-Getting Started With Filebeat部分翻译原文地址:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-getting-started.html...
kvm文档翻译-第三章
qq_26000415的博客
06-13 5523
说明 翻译KVM的文档,只是为了个人学习以做记录.如果有翻译不周到的地方,请指出,我会修正的. 为何翻译文档 此KVM不是目前特别火的Kernel-based Virtual Machine(一个开源的系统虚拟化模块).而是一个JAVA 的虚拟机.是J2ME cldc 的一个实现.其源码的难度比hotspot简单多了.因此,想通过研读KVM,以加深对hotspot的理解 编译要求 为了能够编译k...
Oracle-OCI(Oracle-Call-Interface)官方文档翻译
03-16
Oracle-OCI(Oracle-Call-Interface)官方文档翻译.pdf 是对官方文档翻译
考试篇目-7(有道文档翻译-英译中结果).pages
11-13
考试篇目-7(有道文档翻译-英译中结果).pages
Java8-中文API文档-google翻译
09-18
Java8-中文API文档-google翻译
rocketmq-client-3.6.2.Final-API文档-中文版.zip
04-09
包含翻译后的API文档:rocketmq-client-3.6.2.Final-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:com.alibaba.rocketmq,artifactId:rocketmq-client,version:3.6.2.Final 使用方法:解压翻译后...
RISC-V官网下载文档及书籍含中文版翻译.rar
05-27
RISC-V官网下载文档及书籍含中文版翻译,包含Computer Organization and Design The Hardware Software Interface RISC-V Edition,Hennessy - Computer Architecture A Quantitative Approach,The RISC-V Reader中...
由于某个必要的反作弊程序没有正常运行的缘故,您的客
最新发布
ma_de_hao_mei_le的博客
01-10 8450
把C:\Program Files (x86)\Common Files\BattlEye目录里面的东西全都删了。由于某个必要的反作弊程序没有正常运行的缘故,您的客户都安将于10s后关闭。先把Battle Eye服务关了,然后。
SYSCALL SWAPGS
ma_de_hao_mei_le的博客
07-29 5471
说是因为该函数的前三条指令是用于设置内核栈空间的,内核调试需要先执行这三条指令来设置栈空间,也就是说这三条指令上面是不能下断点的,需要往后偏移。当时用SYSCALL实现系统调用的时候,不存在内核栈空间,也不存在指向保存了内核栈空间内核结构的指针。还有就是如果断点一直不被触发,有可能是因为目标机器上装了什么杀软导致的,卸载再尝试一下。因此,内核没办法去保存通用寄存器的值或者引用的内存里的值。在交换完毕之后就可以使用GS作为段地址来访问内核结构了。在使用该指令之前不需要保存任何通用寄存器,...........
查看windows服务进程对应服务名称及常见服务描述
ma_de_hao_mei_le的博客
06-12 4046
友链 tasklist /svc | findstr pid WpnService: Windows Push Notifications System Service windows消息推送服务
理解C语言中的sizeof操作符
ma_de_hao_mei_le的博客
07-10 3082
sizeof不是函数,就是一个一元运算符,只不过用起来象个函数而已对于数据类型,sizeof会计算出该数据类型的大小,比如sizeof(int)就是4但是如果是指针的话比如char* a[16]; sizeof(a)的值就是16char** a[16]; sizeof(a)的值就是64以前我一直以为 sizeof(a)因该是4,因为a其实就是一个指针,在32位操作系统中,一个指针(内存地址)长度就是32bit即4字节但是事实证明他会计算出这个指针所指向的内存空间的大小,而不是指针类型的大小 下面再来看这个
querydsl-zh_CN.pdf
08-03
对于学习Querydsl,文档提供了一个综合教程,涵盖了: - **Querying JPA**:展示了如何使用Querydsl与JPA(Java Persistence API)集成,构建类型安全的JPA查询。 - **Querying SQL**:说明了如何利用Querydsl构建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值