51、深入理解 ETW:从提供者注册到事件生成

于 2025-07-30 14:04:33 发布
阅读量39 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 深入Windows内核世界 文章标签: ETW 事件跟踪 提供者注册
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/go5gopher/article/details/151606919

深入理解 ETW:从提供者注册到事件生成

1. 枚举 ETW 会话

可以使用 Microsoft Logman 控制台工具( %SystemRoot%\System32\logman.exe )来枚举活动的 ETW 会话,具体操作是在命令行中使用 -ets 参数。

2. ETW 提供者概述

提供者是产生事件的组件,包含提供者的应用程序具备事件跟踪检测功能。ETW 支持多种类型的提供者,它们共享相似的编程模型,但在事件编码方式上有所不同。提供者在生成事件之前,必须先向 ETW 进行注册。控制器应用程序需要启用提供者,并将其与 ETW 会话关联,才能接收来自该提供者的事件。若没有会话启用某个提供者,该提供者将不会生成任何事件。通常,启用的提供者会生成事件,禁用的则不会。

3. 提供者注册

不同类型的提供者有各自的注册 API。例如,基于清单的提供者在用户模式下使用 EventRegister API 进行注册,在内核模式下使用 EtwRegister 。所有类型的提供者最终都会调用内部的 EtwpRegisterProvider 函数来完成实际的注册过程,该函数在 NT 内核和 NTDLL 中实现。

3.1 注册流程

  1. 权限检查 :对于用户模式的提供者注册,NT 内核会对调用进程的令牌进行访问检查,要求具备 TRACELOG_REGISTER_GUIDS 访问权限。若
订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
YOLO综述:从YOLOV1到YOLOV8
qq_33287871的博客
04-08 3348
YOLO 已成为机器人、无人驾驶汽车和视频监控应用的中央实时目标检测系统。我们对 YOLO 的演变进行了全面分析,检查了从原始 YOLO 到 YOLOv8 的每次迭代中的创新和贡献。我们首先描述标准指标和后处理;然后,我们讨论了每个模型的网络架构和训练技巧的主要变化。最后,我们总结了 YOLO 发展的重要经验教训,并展望了其未来,强调了增强实时目标检测系统的潜在研究方向。
【Windows开发】Windows 事件跟踪 (ETW)
阿東啊、
06-04 2320
Windows 事件跟踪ETW)是一项内置功能,最初旨在提供详细的用户和内核日志记录。如今 ETW 被开发者、安全研究者、EDR 厂商广泛使用,常见的免杀工具都实现了ETW绕过模块,例如 Havoc 具有ETW patch功能、Ladon实现了etw unhook、Github能搜到诸多相关代码。本文整理ETW的基本概念,基于 TraceLoggingAPI 实现,给出了ETW绕多的简单实现并完成了相关实验。
51ETW 管理、诊断跟踪详解
q9w8e7r6t5的博客
07-30 22
本博客详细解析了 ETW事件跟踪 for Windows)的管理、诊断跟踪机制,涵盖 ETW 会话枚举、提供程序的注册启用、事件生成流程等内容,并通过实验演示了如何使用工具如 XPERF 和 WEVTUTIL 来枚举提供程序、监控系统进程活动。通过这些内容,读者可以深入理解 ETW 的工作原理,并掌握实际操作技巧,以更好地进行系统监控性能分析。
支持向量机通俗导论(理解SVM的三层境界)
热门推荐
结构之法 算法之道
06-01 153万+
动笔写这个支持向量机是费了不少劲和困难的,原因很简单一者这个东西本身就并不好懂,要深入学习和研究下去需花费不少时间和精力二者这个东西也不好讲清楚,尽管网上已经有朋友写得不错了(见文末参考链接),但在描述数学公式的时候还是显得不够。得益于同学白石的数学证明,我还是想尝试写一下,希望本文在兼顾通俗易懂的基础上,真真正正能足以成为一篇完整概括和介绍支持向量机的导论性的文章本文在写的过程中,参考了不少资料,包括《支持向量机导论》、《统计学习方法》及网友pluskid的支持向量机系列等等,于此,还是一篇。
机器学习之旅:支持向量机通俗导论(理解SVM的三层境界)
Machine Learning with Tutors
06-05 1209
 支持向量机通俗导论(理解SVM的三层境界)作者:July、pluskid ;致谢:白石、JerryLead出处:结构之法算法之道blog。前言    动笔写这个支持向量机(support vector machine)是费了不少劲和困难的,原因很简单,一者这个东西本身就并不好懂,要深入学习和研究下去需花费不少时间和精力,二者这个东西也不好讲清楚,尽管网上已经有朋友写得不错了(见文末参考链接),但...
警报到情报:一种新颖的 LLM 辅助的基于主机的入侵检测框架
hao_wujing的专栏
07-28 1209
摘要: 本文提出SHIELD,一种基于大型语言模型(LLM)的主机入侵检测系统(HIDS),旨在解决现有HIDS的高误报率、跨环境性能不一致和检测结果可解释性差等问题。SHIELD通过事件级掩码自编码器(MAE)定位攻击窗口,结合“聚焦扩展”策略提取攻击证据,并利用确定性数据增强(DDA)技术优化LLM对正常行为的理解。实验表明,SHIELD在DARPA-E3、NodLinksimulated-data和ATLASv2三个数据集上均优于5种代表性HIDS,实现了高精度(如DARPA-E3接近1)和多层次可
转载(添加自己的理解): 支持向量机通俗导论(理解SVM的三层境界)
Work Hard, Play Harder!
01-06 2419
最近一直在学习SVM, 想着干脆就彻底的把读书的时候不会的东西弄明白, 所以把july 的SVM详解仔细看了以下, 然后又看了两次台大的SVM教学视频,终于对SVM有了比较透彻的了解, 所以在这里转载一下july的SVM, 并且在一些地方添加了一下自己的理解,希望能够大家分享一下。 文中添加注解的地方,以以下标志开始和结束 ------------------------------
sso saml_使用签名的SAML断言实现服务提供商发起的SSO
cuxiong8996的博客
07-01 3686
本教程系列的第3部分重点介绍了使用IBM®WebSphere DataPower(以下称为DataPower)作为身份提供者,并通过签名的SAML断言来实现对Salesforce的服务提供者发起的单一登录(SSO)。 图1和图2代表了该解决方案的高层概述。 本教程没有概述第1部分中已经介绍过的Salesforce联合SSO的基础知识。 图1.服务提供商启动的SSO登录到Salesforce...
支持向量机的理解,目前看到的最通透的
lwpyh的博客
03-19 1935
   支持向量机通俗导论(理解SVM的三层境界) 作者:July、pluskid ;致谢:白石、JerryLead 出处:结构之法算法之道blog。 前言     动笔写这个支持向量机(support vector machine)是费了不少劲和困难的,原因很简单,一者这个东...
深入剖析MNK:内核调试技术实战案例分析
本文旨在全面介绍MNK内核调试技术,从理论基础到实践技巧,再到实战案例分析,最后探讨未来的发展趋势。首先,文章概述了内核调试的核心概念和历史演变,并详述了调试环境的搭建方法和调试工具的选择应用。接着,...
YSUSB_V203_Win驱动开发指南:从代码到用户界面
![YSUSB_V203_Win驱动开发指南:从代码到用户界面]...接着,深入到开发实践中,探讨了环境搭建、代码编写、调试及安装测试等关键技术步骤。用户界面设计章节则着重讨论了设计
sharding-jdbc示例代码
12-19
sharding-jdbc示例代码
ENVI+Deep+Learning+V1.0深度学习操作教程
12-19
内容概要:本文介绍了ENVI Deep Learning V1.0的操作教程,重点讲解了如何利用ENVI软件进行深度学习模型的训练应用,以实现遥感图像中特定目标(如集装箱)的自动提取。教程涵盖了从数据准备、标签图像创建、模型初始化训练,到执行分类及结果优化的完整流程,并介绍了精度评价通过ENVI Modeler实现一键化建模的方法。系统基于TensorFlow框架,采用ENVINet5(U-Net变体)架构,支持通过点、线、面ROI或分类图生成标签数据,适用于多/高光谱影像的单一类别特征提取。; 适合人群:具备遥感图像处理基础,熟悉ENVI软件操作,从事地理信息、测绘、环境监测等相关领域的技术人员或研究人员,尤其是希望将深度学习技术应用于遥感目标识别的初学者实践者。; 使用场景及目标:①在遥感影像中自动识别和提取特定地物目标(如车辆、建筑、道路、集装箱等);②掌握ENVI环境下深度学习模型的训练流程关键参数设置(如Patch Size、Epochs、Class Weight等);③通过模型调优结果反馈提升分类精度,实现高效自动化信息提取。; 阅读建议:建议结合实际遥感项目边学边练,重点关注标签数据制作、模型参数配置结果后处理环节,充分利用ENVI Modeler进行自动化建模参数优化,同时注意软硬件环境(特别是NVIDIA GPU)的配置要求以保障训练效率。
QPdfiumDemo
12-19
QPdfiumDemo
【网络安全竞赛】基于DVWA的代码级攻防技术:SQL注入至RCE利用链的实战设计自动化防御方案研究
最新发布
12-19
内容概要:本文通过改造DVWA漏洞靶场,构建了一条从SQL注入到文件上传再到远程命令执行(RCE)的完整攻击链,重点展示代码级攻防技术。文中详细解析了二次注入、图片马精制、竞争上传和LD_PRELOAD沙箱逃逸等高阶技巧,并提供了完整的Python利用脚本官方修复补丁,强调在真实竞赛场景下的实战应用防御策略。同时展望了自动化Patch评估、微服务漏洞链和合规审计等未来发展方向。; 适合人群:具备一定Web安全基础,参加CTF竞赛或从事渗透测试工作的安全从业者,以及蓝队防守人员和安全培训讲师。; 使用场景及目标:①在高校CTF比赛中作为高难度Web题型,检验选手综合攻防能力;②用于企业招聘中考察候选人实战编码应急响应能力;③辅助安全培训中进行攻击复现防御规则编写。; 阅读建议:学习者应结合DVWA环境动手实践每个攻击环节,深入理解Payload构造原理系统底层机制,同时对比官方Patch掌握安全编码规范,提升攻防双向能力。
量子信息科学入门
12-19
本书全面介绍量子信息科学的核心概念,涵盖量子计算、量子通信退相干机制。从基本的量子比特出发,深入探讨纠缠、量子门、测量及错误校正等关键技术。结合理论实验视角,解析量子隐形传态、量子密码学量子算法的实现原理。书中融合多位领域专家的讲义,兼顾初学者研究前沿,是进入量子信息技术领域的理想指南。
企业传播全渠道新闻发稿策略GEO优化效果评估:基于AI驱动的媒体投放及多维度ROI分析系统设计
12-19
内容概要:本文系统阐述了企业新闻发稿在生成式引擎优化(GEO)时代下的全渠道策略效果评估体系,涵盖当前企业传播面临的预算、资源、内容效果评估四大挑战,并深入分析2025年新闻发稿行业五大趋势,包括AI驱动的智能化转型、精准化传播、首发内容价值提升、内容资产化及数据可视化。文章重点解析央媒、地方官媒、综合门户和自媒体四类媒体资源的特性、传播优势发稿策略,提出基于内容适配性、时间节奏、话题设计的策略制定方法,并构建涵盖品牌价值、销售转化GEO优化的多维评估框架。此外,结合“传声港”工具实操指南,提供AI智能投放、效果监测、自媒体管理舆情应对的全流程解决方案,并针对科技、消费、B2B、区域品牌四大行业推出定制化发稿方案。; 适合人群:企业市场/公关负责人、品牌传播管理者、数字营销从业者及中小企业决策者,具备一定媒体传播经验并希望提升发稿效率ROI的专业人士。; 使用场景及目标:①制定科学的新闻发稿策略,实现从“流量思维”向“价值思维”转型;②构建央媒定调、门户扩散、自媒体互动的立体化传播矩阵;③利用AI工具实现精准投放GEO优化,提升品牌在AI搜索中的权威性可见性;④通过数据驱动评估体系量化品牌影响力销售转化效果。; 阅读建议:建议结合文中提供的实操清单、案例分析工具指南进行系统学习,重点关注媒体适配性策略GEO评估指标,在实际发稿中分阶段试点“AI+全渠道”组合策略,并定期复盘优化,以实现品牌传播的长期复利效应。
手机端AIDE编译器安卓版推箱子游戏软件代码.txt
12-19
手机端AIDE编译器安卓版推箱子游戏软件代码.txt
文件行政工作满意度调查表sheet
12-19
文件行政工作满意度调查表sheet
深入解析TamperETW:篡改CLR ETW事件的PoC展示
篡改ETW事件通常涉及拦截、修改或阻止事件生成和传输。在安全领域,这种技术可以被红队(对抗测试团队)用来隐藏恶意活动或绕过安全监控系统,如安全信息和事件管理系统(SIEM)。篡改ETW事件可以阻止事件数据被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值