Windows ETW:深入理解和实践

最新推荐文章于 2025-06-04 21:15:06 发布
原创 最新推荐文章于 2025-06-04 21:15:06 发布 · 991 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Windows Performance Monitor #ETW会话 #ETW提供者 #事件解码 #ETL文件

Windows ETW:深入理解和实践

背景简介

在现代Windows操作系统中,性能监控和故障排除是一个复杂的任务,需要深入了解和使用各种工具。事件追踪(Event Tracing for Windows,简称ETW)是一种强大的系统级诊断工具,广泛应用于性能分析和事件追踪。在本篇博客中,我们将探讨如何使用ETW工具来监控和分析Windows系统。

枚举ETW会话

使用Windows性能监视器(通过输入perfmon在Cortana搜索框打开),可以轻松地查看ETW会话。展开“数据收集器集”中的“事件跟踪会话”,可以看到与XPERF相同的会话列表。通过右键点击会话名称选择“属性”,可以浏览会话的配置。特别是,“安全”属性表可以解码ETW会话的安全描述符。

除了性能监视器,还可以通过命令行工具Logman(位于%SystemRoot%\System32\logman.exe)使用 -ets 命令行参数来枚举活动的ETW会话。

ETW提供者

提供者是ETW中产生事件的组件,根据其编码事件的方式,ETW支持不同类型的提供者。一个提供者必须先在ETW中注册才能生成事件。控制器应用程序需要启用提供者并将其与ETW会话关联,以便接收事件。如果会话未启用提供者,提供者将不会生成事件。

提供者注册是通过调用特定的API完成的,这取决于提供者的类型。例如,基于清单的提供者依赖于EventRegister API进行用户模式注册,以及EtwRegister进行内核模式注册。所有提供者类型最终都会调用EtwpRegisterProvider函数来执行实际的注册过程。

提供者启用

提供者启用是指将提供者与ETW会话关联的过程。这可以通过EnableTraceEx API在控制器应用程序中完成,允许指定事件类别和高级过滤器。提供者启用由ETW内核模式中的EtwpEnableGuid函数管理。启用提供者后,事件就可以被生成并记录在ETW会话中。

实验:使用ETW列出进程活动

通过实验,我们将使用ETW来监控Windows系统的进程活动。Windows 10有多个提供者可以监控这些信息,我们将使用Microsoft-Windows-Kernel-Process提供者。通过命令行工具Xperf,我们可以启动一个ETW会话来捕获进程活动,并将事件保存到ETL文件中。

ETW日志记录器线程

日志记录器线程是ETW中非常重要的组件,负责将事件刷新到日志文件或传递给实时消费者。它会跟踪已传递和丢失的事件数量。对于实时会话,日志记录器线程还会创建临时ETL日志文件来保存事件,直到它们被传递给实时消费者。

消费和解码ETL文件中的事件

ETW事件几乎完全在用户模式下通过消费者应用程序处理。消费者使用ProcessTrace API来打开ETL日志文件,并通过事件回调函数来消费事件。事件解码是通过Event Trace Decode Helper Library(TDH.dll)实现的,它提供了解码事件的服务。为了在另一个系统上正确解码事件,可以使用Windows Event Log API将ETL文件中的事件及其解码信息保存到EVTX文件中。

总结与启发

ETW是Windows系统中一个强大的诊断工具,允许开发者和系统管理员深入了解系统运行情况。通过本篇博客,我们了解了如何使用ETW进行系统性能监控和事件追踪,包括如何枚举ETW会话、注册和启用提供者、监控进程活动、以及如何消费和解码ETL文件中的事件。掌握这些技能对于进行深入的系统分析至关重要,尤其是在需要解决复杂性能问题或进行故障排除时。

进一步阅读推荐

如果您希望进一步深入学习ETW,以下资源可能会对您有所帮助: - Microsoft官方文档:https://docs.microsoft.com/en-us/windows/win32/etw/about-event-tracing - Windows系统编程(第2版):https://www.amazon.com/Windows-System-Programming-2nd-Win32/dp/0596009898 - Windows Internals, Part 1: System Architecture, Processes, Threads, Memory Management, and More (7th Edition):https://www.amazon.com/Windows-Internals-Part-architecture-memory-management/dp/0135462403

通过实践和学习这些资源,您将能够更加熟练地使用ETW工具来提升您的系统分析和故障排除能力。

李开机呢
关注
40、垃圾回收机制:深入理解分配预算与代大小的关系
n2o3p4的博客
06-18 8
本文深入探讨了垃圾回收(GC)机制中分配预算与代大小之间的关系,结合 CoreCLR 源码实际示例程序,详细分析了 GC 的触发条件、分配预算的计算方式以及代大小的动态调整过程。通过 ETW 数据 GC 事件分析,揭示了内存分配、对象存活率与 GC 行为之间的关联,为优化应用程序性能提供了理论基础实践指导。
ETW用户界面UIforETW.zip
07-16
UIforETW 是用于记录管理 ETW 跟踪的用户界面。它更容易控制,比使用批处理文件微软 wprui 要好得多。UIforETW 还能解决很多 ETW 跟踪问题(比如修复符号加载问题)并且增加额外的功能,例如 Chrome 进程分类。
Windows开发】Windows 事件跟踪 (ETW)
最新发布
阿東啊、
06-04 1279
Windows 事件跟踪(ETW)是一项内置功能,最初旨在提供详细的用户内核日志记录。如今 ETW 被开发者、安全研究者、EDR 厂商广泛使用,常见的免杀工具都实现了ETW绕过模块,例如 Havoc 具有ETW patch功能、Ladon实现了etw unhook、Github能搜到诸多相关代码。本文整理ETW的基本概念,基于 TraceLoggingAPI 实现,给出了ETW绕多的简单实现并完成了相关实验。
ETW windows事件跟踪知识学习的愚见
热门推荐
qq_31314583的博客
07-11 5万+
etw模型网上有就不说了,这里主要是几个概念的区分fill:#333;color:#333;color:#333;fill:none;Vista之前Vista之前Vista 引入的新事件模型,统一ETWEvent Logging的APIWIn10基于ETW 的TraceLogging 引入的简化的检测代码的方法Windows事件事件日志记录 Event LoggingWindows 事件跟踪 ETWWindows事件日志 windows-event-log。
ETW的攻与防
hongduilanjun的博客
09-14 3317
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
Windows如何启动停止etw事件监听
ccf19881030的专栏
04-30 1074
Windows Etw监听启动停止
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2425
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
应用分析揭秘:深入理解.NET Framework 3.5在Windows 11的表现
[应用分析揭秘:深入理解.NET Framework 3.5在Windows 11的表现](https://www.anoopcnair.com/wp-content/uploads/2021/06/image-261-1024x484.png) # 摘要 .NET Framework 3.5作为微软开发的综合型编程框架,为...
Windows ETW技术详解:高效事件追踪
"ETW入门书籍" ETW,全称Event Tracing for Windows,是微软操作系统提供的一种高效且低...通过ETW入门书籍,读者可以深入理解ETW的工作原理,并掌握其在实际项目中的应用技巧,从而提升软件系统的监控维护能力。
【内存管理专家】:深入理解ctypes.wintypes的内存管理技巧
[【内存管理专家】:深入理解ctypes.wintypes的内存管理技巧](https://www.educative.io/v2api/editorpage/5177392975577088/image/5272020675461120) # 1. ctypes.wintypes模块概述 在本章中,我们将探讨 `ctypes....
EtwTools:用于Windows事件跟踪(ETW)的API
03-29
事件追踪 用于Windows事件跟踪(ETW)的API
etwprof:基于ETWWindows上本机应用程序的采样探查器
05-26
etwprof etwprof是一个轻量级,自包含的采样探查器,适用于Windows上的本机应用程序。 它基于(ETW)框架。 该探查器具有以下设计目标: 没有任何可安装的依赖项 轻的 处理器架构模型无关 它必须可行才能用作技术支持工具 与Microsoft提供的基于ETW的性能分析器(例如 , 等)不同,etwprof会执行过滤,因此可以保存仅与目标进程相关的采样配置文件数据。 与其他基于ETW的工具相比,这导致.etl输出文件小得多。 用法 etwprof是一个命令行工具。 要分析(已运行的)进程,请以管理员身份启动etwprof,然后传递PID或您要分析的可执行文件的名称。 以下示例将配置文件notepad.exe ,将生成的.etl文件写入用户的主文件夹,并且还将在开始时创建一个小型转储: etwprof profile -t=notepad.exe --outdir=%
【C#任务排队机制】:深入理解线程池工作队列,优化任务处理
它通过复用一组预定义的线程来执行一系列的任务,从而减少频繁创建销毁线程所带来的开销,提高应用程序性能资源利用率。 ## 线程池的概念 线程池本质上是一种工厂模式在多线程场景下的应用。它维护了一组工作...
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:[email protected])
06-30 9123
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲日志记录机制,提供对用户模式应用程序内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各
【亲测免费】 探索Windows事件追踪:ETW库的全面解析与应用
gitblog_00053的博客
05-25 897
探索Windows事件追踪:ETW库的全面解析与应用 1、项目介绍 在Windows操作系统中,Event Tracing for WindowsETW)是一个强大的日志记录工具,它允许开发者记录事件并存储到文件或缓冲区中。这个系统级的服务提供了一个灵活的架构,包括提供者、控制器消费者三个部分。现在,有一个完全用Python实现的ctypes包装器库,它让你能够方便地控制ETW会话,并处理接收...
Event Tracing for Windows(ETW) - 使用基于清单的提供者事件 译(10)
勿以恶小而为之,勿以善小而不为
05-18 963
Writing Manifest-based Events 原文链接 作者:Microsoft 译者:塔塔塔塔塔 在你写Event 到 跟踪Session 前必须先注册Provider。注册好的Provider会通知ETW你的Provider已经准备好去写Event到跟踪Session,您的提供程序已准备好将事件写入跟踪会话。一个进程最多可以注册1,024个Provider的GUID;但是,您应该将程序中注册的Provider的数量限制为一两个。 Windows Vista之前的版本:一个程序可以注册的Pr
ETW事件基础步骤
weixin_34268610的博客
02-19 596
    一.调用EventRegister注册一个REGHANDLE DWORD status = ERROR_SUCCESS; REGHANDLE RegistrationHandle = NULL; status = EventRegister( &ProviderGuid, // GUID that identifies the provider ...
RPCMon:一款基于ETW的RPC监控工具
顶峰
02-10 854
1、提供RPC功能活动的详细信息;2、支持构建RPC数据库以解析RPC模块或使用硬编码数据库;3、支持筛选或高亮显示每行单元格信息;4、指定行粗体显示;1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值