精易论坛

标题: 【Etw系列】几乎无延迟的Etw监听，效率极高 [打印本页]

作者: ANormalUser 时间: 2022-8-31 21:36
标题: 【Etw系列】几乎无延迟的Etw监听，效率极高

Etw系列：

【易首发】使用Etw监视全系统IMAGE加载卸载情况

【Etw系列】使用Etw监视系统进程创建的详细信息

【Etw系列】使用NT Kernel Logger监听系统进程创建结束详细信息

【Etw系列】使用Etw监听系统线程创建销毁详细信息

【Etw系列】使用Etw监视系统文件创建详细信息

【Etw系列】对系统删除文件操作进行监听

【Etw系列】使用FileInfoMinifilter实现文件变动内核监听

【Etw系列】使用Etw监听系统网络事件，支持TCP/UDP、IPV4/IPV6

【Etw系列】利用Microsoft-Windows-Kernel-Registry监听zc表变动

【Etw系列】利用NT Kernel Logger监听内核的DbgPrint消息

【Etw系列】利用NT Kernel Logger监听全系统内存分配/销毁消息

【Etw系列】利用NT Kernel Logger监听系统内核句柄的拷贝/创建...

【Etw系列】你想知道的关于ETW的信息，都在这里……

更多：

众所周知，ETW因为FlushTimer强制被设置为1秒的原因，导致ETW消息反馈会有1秒左右的延迟。

如何降低延迟，实现实时监控呢？

其实很简单，ETW模型给我们提供了手动Flush缓冲区的命令，我们只需要不停的手动Flush缓冲区就可以实现几乎实时的ETW监控。

其实只要创建一个时钟，时钟周期中需要加2行简单的代码其实就搞定了：

时钟周期我设置的是100毫秒，代表程序每100毫秒刷新一次ETW的缓冲区，即表明ETW消息回调的时间误差至少不大于100毫秒。

在实际的程序中可以将刷新频率提得更加高，这样ETW消息的延迟就会更加低。在测试中，即使是将刷新缓冲区的时钟周期设置为1毫秒，程序的CPU占用也几乎为0，这表明ETW监听效率确实很高。（但是并不建议这样做，100毫秒刷新一次缓冲区的监听效率也基本满足实时要求）

提示：程序既然已经利用时钟来刷新ETW缓冲了，那么ETW初始时的FlushTimer可以稍微设置大一点（即保证缓冲区的刷新几乎交给程序管理），例如此程序的FlushTimer被扩大到了10秒。

帖子最后给出的例子程序一个是监听进程创建的，一个是监听文件变动的，效率相比原来的程序可以说是极高了。（监听其他的ETW模型可以自己修改）

PS：

程序启用事件监视必须拥有管理员权限！

程序启用事件监视必须拥有管理员权限！

若监视程序异常退出，请务必手动停止监视事件

若监视程序异常退出，请务必手动停止监视事件

注意！！如果使用其他ETW系列的代码进行修改，使用前请务必取消这里的ControlTraceA第一个参数的传址属性：

程序下载：

[hide=d114514]

Etw - NT Kernel Logger - Process.zip (20.15 KB, 下载次数: 162) [/hide]

作者: sinewtec 时间: 2022-8-31 21:51
支持开源~！感谢分享

作者: 喵帕斯和艾希 时间: 2022-8-31 21:53
感谢楼主分享

作者: By名扬 时间: 2022-8-31 21:56
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: 不苦小和尚 时间: 2022-8-31 22:08
监听什么，没明白

作者: 杰西卡技术传媒 时间: 2022-8-31 22:14
支持开源~！感谢分享

作者: ttuzi 时间: 2022-8-31 22:22
感谢分享!

作者: jysoft2022 时间: 2022-8-31 22:58
支持开源~！感谢分享

作者: Aag666 时间: 2022-8-31 23:07

作者: asfor78 时间: 2022-8-31 23:16
支持开源~！感谢分享

作者: 初晴雨后 时间: 2022-8-31 23:22
支持下。。。

作者: 794229345 时间: 2022-8-31 23:49
膜拜大佬！大佬牛B！

作者: caoljie 时间: 2022-8-31 23:49
程序启用事件监视必须拥有管理员权限！
若监视程序异常退出，请务必手动停止监视事件

作者: zjmowu 时间: 2022-9-1 00:22
支持开源~！感谢分享

作者: quary888 时间: 2022-9-1 00:23
谢谢楼主分享！！！好人一生平安！！！

作者: lobid 时间: 2022-9-1 01:24
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: xSerendipity 时间: 2022-9-1 01:44
支持开源~！感谢分享

作者: zhifu3158 时间: 2022-9-1 02:22
支持开源~！谢分享

作者: 温暖的舌骨 时间: 2022-9-1 03:08
支持开源~！感谢分享

作者: mafeng1989 时间: 2022-9-1 04:48
学习!谢谢分享!

作者: 河道蟹 时间: 2022-9-1 05:09
学习!谢谢分享!

作者: 寻找星空 时间: 2022-9-1 06:58
非常不错，不知道有没有整合全套模块源码？关于此类资源

作者: 单色 时间: 2022-9-1 07:27
瞅瞅看

作者: fjgh 时间: 2022-9-1 07:42

作者: 网络注册网员 时间: 2022-9-1 07:48
又见大作

作者: 794229345 时间: 2022-9-1 08:31
感谢楼主分享！

作者: wjswzj0 时间: 2022-9-1 09:03
谢谢分享

作者: 美味萝卜 时间: 2022-9-1 09:18
支持开源~！感谢分享

作者: q1512960733 时间: 2022-9-1 09:22
支持支持

作者: 灵海雪缘 时间: 2022-9-1 09:53
看看看看看看扩扩扩扩扩扩扩

作者: xtavoxing 时间: 2022-9-1 10:00
一般会有哪些情况会导致.程序异常退出? 这个能长期稳定监听吗?

作者: 看一眼就怀孕 时间: 2022-9-1 11:17
看一眼就

作者: webmaster999 时间: 2022-9-1 11:33
支持开源~！感谢分享

作者: veryhigh2014 时间: 2022-9-1 11:35
这个而必须支持

作者: 59hdvj 时间: 2022-9-1 12:57
感谢分享

作者: yxl2008 时间: 2022-9-1 13:07
支持开源~！感谢分享

作者: ttggnn 时间: 2022-9-1 13:31
感谢分享

作者: 小辈出山 时间: 2022-9-1 13:31
暂时还是不知道干嘛用的.有人解锁一下么.

作者: yangdoudou 时间: 2022-9-1 13:43
众所周知，ETW因为FlushTimer强制被设置为1秒的原因

作者: yzl666 时间: 2022-9-1 14:36
感谢分享

作者: 深圳梦 时间: 2022-9-1 20:41
支持开源~！感谢分享

作者: tszc50 时间: 2022-9-1 20:47
如果您要查看本帖隐藏内容

作者: sinboy2009 时间: 2022-9-1 20:59
厉害，这是真大佬

作者: kantal 时间: 2022-9-1 21:49
感谢分享，很给力！~

作者: jing2020yi 时间: 2022-9-1 23:05
谢谢分享~

作者: jxxypxh 时间: 2022-9-2 16:23
来学习下，谢谢

作者: muye84 时间: 2022-9-2 16:32
支持开源~！感谢分享

作者: 蒙顺童 时间: 2022-9-2 19:23
支持开源~！感谢分享

作者: incwin 时间: 2022-9-2 21:41
支持开源~！感谢分享

作者: 晓风残月梦微凉 时间: 2022-9-2 22:56
支持开源~！感谢分享

作者: 灰灰君 时间: 2022-9-3 00:40
支持开源~！感谢分享

作者: FUYUEPC 时间: 2022-9-3 05:15
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: muye84 时间: 2022-9-3 10:16
请教大佬，用这个可以多个程序同时监视进程启动吗

作者: 冰棍好烫啊 时间: 2022-9-3 14:59
66666666666666

作者: 布鲁斯南 时间: 2022-9-3 17:48
感谢分享，很给力！~

作者: leiwawa001 时间: 2022-9-3 20:47
谢谢分享，

作者: 淡淡香草味 时间: 2022-9-3 22:21
新技能已get√ 新技能已get√

作者: 784326742 时间: 2022-9-4 01:52
大佬有机会搞搞x64任务管理器

作者: 晓月Am 时间: 2022-9-4 02:49
感谢分享了

作者: nb1130 时间: 2022-9-4 08:54
dddddddddddddddddd

作者: 和你相约长城 时间: 2022-9-4 12:54
6666666666666666666666666

作者: 梦想ol 时间: 2022-9-4 13:17
支持开源~！感谢分享

作者: 亿万 时间: 2022-9-4 13:39
感谢分享

作者: 国王软件 时间: 2022-9-4 17:05
优秀支持一下

作者: ltais 时间: 2022-9-4 20:06
几乎无延迟的Etw监听，效率极高

作者: wzi 时间: 2022-9-4 20:33
11111111111111111111111111111111

作者: ncmania 时间: 2022-9-4 20:58
支持一个支持一个

作者: Sadlg 时间: 2022-9-5 02:28
程序启用事件监视必须拥有管理员权限！

作者: nalongjie007 时间: 2022-9-5 05:40
子程序1子程序1子程序1

作者: 牛bi的阿三 时间: 2022-9-5 14:19

作者: 土豆拌螃蟹 时间: 2022-9-5 15:24
无延迟的Etw监听，效率极高

作者: starfee 时间: 2022-9-5 19:57
这个系列真得太上头了。。。

作者: delsu 时间: 2022-9-5 22:35

作者: zhouli5464 时间: 2022-9-6 04:04
支持开源~！感谢分享

作者: w521521 时间: 2022-9-6 18:48
支持开源~！感谢分享

作者: qw1417 时间: 2022-9-6 23:16
支持开源~！感谢分享

作者: tvvvhg 时间: 2022-9-7 09:28
支持开源~！感谢分享

作者: Rainly 时间: 2022-9-7 09:57
支持开源~！感谢分享

作者: ldljlzw 时间: 2022-9-7 11:52
好文必顶

作者: wmiboy 时间: 2022-9-8 07:30
支持开源~！感谢分享

作者: 凛凛蝶的SS 时间: 2022-9-12 14:41
感谢分享下载学习

作者: FUYUEPC 时间: 2022-9-24 11:11
小小心意，意思一下

作者: absabs666 时间: 2022-12-26 13:01
nbnb6666666666666666666666666666666666666

作者: lzptts 时间: 2023-2-15 22:41
感谢大佬的作品

作者: Nick5469 时间: 2024-10-25 13:14
666

作者: ht5124251 时间: 2024-12-6 00:09
必须要窗口么没有窗口似乎没效果

欢迎光临精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4