精易论坛

标题: 【易首发】使用Etw监视全系统IMAGE加载卸载情况 [打印本页]

作者: ANormalUser 时间: 2022-6-11 13:54
标题: 【易首发】使用Etw监视全系统IMAGE加载卸载情况

前言：

什么是Etw：Event Tracing for Windows

详细内容：

Etw具有强大的功能，可以利用它写出强大的监视程序。

易语言中似乎没有人研究过Etw，我就用Etw写了这个监视全系统进程映像加载和卸载的例子。

具体代码已经写出来了，可自行参考：

监视样例：

由于驱动程序可看作ntoskrnl.exe的映像，所以本程序可以监视驱动的加载卸载：

另外，在程序监视过程中，“计算机管理”-\>“系统工具”-\>“性能”-\>“数据收集器集”-\>“事件跟踪会话”中便可看到监视的内容（程序只启用了WINEVENT_KEYWORD_IMAGE，用命令启用其他功能可以编写其他功能强大的监视程序）：

PS:

程序启用事件监视必须拥有管理员权限！

程序启用事件监视必须拥有管理员权限！

若监视程序异常推出，请务必手动停止监视事件

若监视程序异常推出，请务必手动停止监视事件

程序下载：

[hide=d114514]

Etw - Prceoss.e (30.76 KB, 下载次数: 153) [/hide]

作者: Bszk 时间: 2022-6-11 15:01
感谢分享，瞧瞧

作者: Fate 时间: 2022-6-11 15:31

感谢分享

作者: wuqingg 时间: 2022-6-11 15:39
支持开源~！感谢分享

作者: sinewtec 时间: 2022-6-11 15:42
一顿操作一头雾水

作者: incwin 时间: 2022-6-11 15:49
一顿操作一头雾水

作者: yujiekuxiao 时间: 2022-6-11 16:20
思路很好谢谢分享

作者: muye84 时间: 2022-6-11 16:24
支持开源~！感谢分享

作者: cf2006a 时间: 2022-6-11 16:34
看上去非常牛逼的样子，一定要顶一个，大神的东西就是有技术含量

作者: 深爱者 时间: 2022-6-11 16:57
看上去非常牛逼的样子，一定要顶一个，大神的东西就是有技术含量

作者: kantal 时间: 2022-6-11 18:06
看上去非常牛逼的样子，一定要顶一个，大神的东西就是有技术含量

作者: bianyuan456 时间: 2022-6-11 18:29
感谢分享

作者: kflizcst 时间: 2022-6-11 18:42
支持开源~！感谢分享

作者: xjshuaishuai 时间: 2022-6-11 18:43
谢谢分享！

作者: 冰棍好烫啊 时间: 2022-6-11 18:59
支持开源~！感谢分享

作者: 深圳梦 时间: 2022-6-11 20:53
支持开源~！感谢分享

作者: pxiu 时间: 2022-6-11 21:17

感谢分享！

作者: menghan 时间: 2022-6-11 21:46
感谢楼主分享，支持一下~~

作者: pipiap 时间: 2022-6-11 22:31
很牛啊，看看

作者: 794229345 时间: 2022-6-11 23:43
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: fyh505099 时间: 2022-6-12 00:08
大佬就是猛...

作者: Code123 时间: 2022-6-12 06:15
支持开源~！感谢分享

作者: dawang2014 时间: 2022-6-12 10:49
支持开源~！感谢分享

作者: tvvvhg 时间: 2022-6-12 11:01
支持开源~！感谢分享

作者: z博士 时间: 2022-6-12 12:23
感谢分享

作者: xtavoxing 时间: 2022-6-12 12:46
小白路过.不是很懂

作者: 杰西卡技术传媒 时间: 2022-6-12 18:07
使用Etw监视全系统IMAGE加载卸载情况

作者: eavesyang 时间: 2022-6-12 18:51
只能监视用吗

作者: 315215 时间: 2022-6-13 08:16
回复看看如何的

作者: Sunnnny 时间: 2022-6-13 09:21
支持一下

作者: jiang910615 时间: 2022-6-13 10:17
学习学习

作者: yxl2008 时间: 2022-6-13 16:23
感谢分享，下载学习！！！

作者: 枫眼 时间: 2022-6-13 19:32
666666666666666666666666666

作者: 784326742 时间: 2022-6-13 19:55
监视全系统IMAGE加载卸载情况

作者: 温暖的舌骨 时间: 2022-6-14 00:58
支持开源~！感谢分享

作者: 王摇摆 时间: 2022-6-14 07:08
感谢分享

作者: 啊基德 时间: 2022-6-14 09:54
感谢楼主的分享

作者: 晓风残月梦微凉 时间: 2022-6-14 17:05
程序下载：

作者: 网络注册络员 时间: 2022-6-15 07:59
支持开源~！感谢分享

作者: 网络注册网员 时间: 2022-6-15 08:00
支持开源

作者: jysoft2022 时间: 2022-6-15 14:43
支持开源~！感谢分享

作者: 135544 时间: 2022-6-15 15:04
支持开源~！感谢分享

作者: 梦想ol 时间: 2022-6-15 22:55
支持开源~！感谢分享

作者: ArchiverX3 时间: 2022-6-16 20:31
太强了！！！！

作者: 狸楚殇 时间: 2022-6-16 20:36
感谢分享！

作者: shentong 时间: 2022-6-17 19:46
kkkkkkkkkkkkkkkkkkk

作者: 易飞阁 时间: 2022-6-18 03:51
楼主非常牛逼看了好几个主题都不错

作者: 网络注册网员 时间: 2022-6-30 19:23
支持一下

作者: 金叶 时间: 2022-6-30 23:55
这个号就是目录找不到

作者: pipi9 时间: 2022-7-10 01:55
好好学习，天天向上

作者: cst621 时间: 2022-10-30 04:00
下载学习1111111111

作者: 382270611 时间: 2022-10-30 17:13
大佬写入寄存器写个例子啊

作者: zhongzutao 时间: 2022-11-22 08:28
看了好几个主题都不错

作者: 121212121212121 时间: 2023-2-14 09:29
支持开源~！感谢分享

作者: glr9107 时间: 2023-4-10 05:06
感谢分享！！！

欢迎光临精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4