ETW (Event Tracing for Windows)

关于ETW (Event Tracing for Windows)

ETW介绍

事件追踪 Event Tracing for Windows (ETW) 是Windows系统内置的强大事件跟踪机制。它可以收集在系统上不同事件和活动的详细信息。这些事件可以是由系统本身发起的（例如加载一个DLL）或者由用户发起的（例如打开一个文件）。

无论是用户的程序，还是内核驱动生成的事件都会被ETW记录在日志里面，我们就可以去分析日志知道系统发生了什么。所以对防守方（杀软，EDR啥的），ETW是一个非常实用的工具

ETW的组成

提供程序 (Providers) - 提供程序是最上级组件，他们负责生成事件。提供程序可以是用户模式应用、内核模式驱动程序，或 Windows 内核本身。每个提供程序由一个独有的 GUID 作为标识。

(跟踪)会话 (Tracing session) - “ETW 会话基础结构充当中间代理，将事件从一个或多个提供程序中继给使用者。 会话是一个内核对象，它将事件收集到内核缓冲区中，并将其发送到指定的文件或实时使用者进程。 可以将多个提供程序映射到单个会话，让用户能够从多个源收集数据。” 简而言之，ETW 会话可作为一个了一个中心容器来负责从单个或者多个 ETW 提供程序中收集和管理事件。

控制器 (Controllers) - 控制器负责“启动”、“停止”或”更新”跟踪会话。当一个会话被启用后，指定的 ETW 提供程序就可以开始发送事件给这个会话，这时使用者 (consumers) 也可以读取这些事件了。

使用者 (Consumers) - 使用者是一个应用连接到 ETW 会话来读取已记录的跟踪文件，或者实时捕获活动跟踪会话中的事件并处理事件。一个会话可以不需要任何使用者并保持运行。此外，ETW 使用者可以连接到多个会话，这样使用者可以同时读取多种类型的日志事件（例如系统事件和网络事件）。
Windows 的事件查看器和资源监视器都是内置的 ETW 使用者应用。

ETW实现原理

（不知道说的对不对，但是查阅资料是这样的）

ETW 的原理是通过在内核态和用户态的一些关键 API 入口处加入ETW的函数，记录事件数据。这些函数通常内置在 Windows 内核中，能够跟踪包括文件操作、进程/线程管理、网络通信等。

当应用程序调用这些被钩住的 API 时，ETW 收集到的数据包括调用进程的 ID、执行线程的 ID、时间戳、参数（如文件路径、句柄、操作类型等），然后将这些信息封装为事件。

ETW 使用高速缓冲区收集事件数据，这些数据会存储在内存中，然后可以根据预设的追踪配置（如追踪某个特定应用的行为）或通过配置的事件消费者（Trace Session）将事件日志记录下来。

每个被跟踪的事件都有其唯一的 GUID，以区分不同类型的操作。比如，一个文件打开操作和一个线程创建操作的事件类型不同，但都可以通过 ETW 被记录

ETW 的事件Consumers可以是调试工具、系统日志工具（如 Windows Performance Recorder 或 Event Viewer），或者你自定义的程序。它们通过访问 ETW 提供的事件数据流，分析哪些程序触发了哪些事件。

具体来说，我们可以这样验证

ntoskrnl.exe 是我们熟知的操作系统内核可执行文件，包含了 NT 内核的执行层面和负责硬件抽象、句柄管理、和内存管理等。内核通过 EtwTi 函数来管理 ETW。Ti 表示 “threat intelligence” - 威胁情报。

通过查阅资料了解到，当我们在用户模式下调用 WriteProcessMemory 会对应执行 NtWriteVirtualMemory，随之会调用 MiReadWriteVirtualMemory，最后，EtwTiLogReadWriteVm 会被调用来记录读写操作。

我们可以通过 IDA 来看看 MiReadWriteVirtualMemory 的流程。

通过查找 MiReadWriteVirtualMemory 我们发现 NtReadVirtualMemory、NtWriteVirtualMemory、和NtReadVirtualMemoryEx 都会调用 MiReadWriteVirtualMemory。

EtwTiLogReadWriteVm 就是我们要找的 EtwTi 函数用于记录读写操作。

所以以上的验证应该没错

在内核中有哪些事件会被记录？

以 EtwTiLog 开头的函数是 Windows 内核的 ETW（事件跟踪）机制的一部分，用于记录系统中的各种事件。这些函数通常用于监控系统的行为，特别是安全和执行相关的事件。

1. EtwTiLogInsertQueueUserApc
   作用：记录将用户 APC（异步过程调用）插入到目标线程的事件。
   场景：通常用于监控异步操作，确保在特定条件下执行的代码，尤其在多线程环境中。
2. EtwTiLogAllocExecVm
   作用：记录分配可执行虚拟内存（VM）的事件。
   场景：跟踪分配的内存区域，用于执行代码。对于分析恶意软件或注入代码的行为尤为重要。
3. EtwTiLogProtectExecVm
   作用：记录保护可执行虚拟内存的事件。
   场景：用于监控内存保护机制，确保不被恶意代码修改或访问。
4. EtwTiLogReadWriteVm
   作用：记录对虚拟内存的读写操作。
   场景：用于监控内存访问，检测恶意软件对内存的操控。
5. EtwTiLogDeviceObjectLoadUnload
   作用：记录设备对象的加载和卸载事件。
   场景：监控驱动程序或设备的状态变化，尤其在设备安装或卸载时。
6. EtwTiLogSetContextThread
   作用：记录设置线程上下文的事件。
   场景：用于分析线程执行的状态和调度行为，尤其是上下文切换。
7. EtwTimLogProhibitDynamicCode
   作用：记录禁止动态代码生成的事件。
   场景：用于安全分析，防止恶意软件通过动态代码生成技术执行代码。
8. EtwTiLogMapExecView
   作用：记录映射可执行视图的事件。
   场景：用于监控将可执行文件映射到进程地址空间的行为，特别是对于分析加载和执行过程。
9. EtwTimLogProhibitChildProcessCreation
   作用：记录禁止子进程创建的事件。
   场景：用于保护特定进程不被其他进程创建子进程，增强安全性。
10. EtwTiLogDriverObjectLoad
    作用：记录驱动对象加载事件。
    场景：监控驱动程序的加载状态，有助于分析系统的驱动程序行为。
11. EtwTiLogDriverObjectUnload
    作用：记录驱动对象卸载事件。
    场景：监控驱动程序的卸载，确保系统稳定性和安全性。
12. EtwTiLogSuspendResumeProcess
    作用：记录进程暂停和恢复事件。
    场景：用于分析进程的状态变化，尤其是在调试或分析恶意软件行为时。
13. EtwTiLogSuspendResumeThread
    作用：记录线程暂停和恢复事件。
    场景：监控线程状态变化，对分析多线程应用和恶意软件活动有帮助。
14. EtwTimLogProhibitLowILImageMap
    作用：记录禁止低完整性级别（Low Integrity Level，IL）映射的事件。
    场景：保护系统不受低完整性级别的可执行文件影响，增强安全性。
15. EtwTimLogProhibitNonMicrosoftBinaries
    作用：记录禁止非微软二进制文件的事件。
    场景：用于保护系统，防止非官方或未经验证的可执行文件的运行。
16. EtwTimLogProhibitWin32kSystemCalls
    作用：记录禁止 Win32k 系统调用的事件。
    场景：保护用户模式和内核模式之间的交互，防止恶意代码通过这些调用进行攻击。

ETW的使用

配置和启动事件跟踪会话
配置和启动 SystemTraceProvider 会话
配置和启动 AutoLogger 会话
配置和启动专用记录器会话
更新事件跟踪会话
检索其他事件跟踪数据

在 ETW (Event Tracing for Windows) 中，会话（Session）指的是一个事件跟踪的上下文或实例，用来收集、记录和处理特定类型的系统活动或事件。它可以被视为一个独立的跟踪实例，通过它可以启动、管理和停止事件的收集过程。

在 ETW 中，提供程序（Provider）是生成事件的源。例如，操作系统的内核、应用程序、驱动程序等都可以是事件的提供程序。为了捕获和记录这些事件，你需要启用相应的事件提供程序。

配置和启动事件跟踪会话

函数介绍

StartTrace

StartTrace 是用于启动一个 事件跟踪会话 的函数。它会初始化和启动一个新的会话，创建会话的基本结构，并使 ETW 准备好开始记录事件。会话创建成功后，你可以在该会话中启用特定的事件提供程序来收集数据。

ULONG StartTrace(
    OUT TRACEHANDLE* TraceHandle,        // 会话句柄
    IN LPCWSTR SessionName,              // 会话名称
    IN PEVENT_TRACE_PROPERTIES TraceProperties // 会话配置属性
);

EnableTrace

EnableTrace 是用于启用或禁用特定 事件提供程序 的函数。它用于在已创建的事件跟踪会话中启用（或禁用）事件提供程序，使得会话能够收集指定类型的事件。

ULONG WMIAPI EnableTrace(
  [in] ULONG           Enable, // 是否启用或禁用
  [in] ULONG           EnableFlag, // 启用的标志（例如，启用级别）
  [in] ULONG           EnableLevel,// 启用的事件级别（例如，详细程度）
  [in] LPCGUID         ControlGuid,// 控制提供程序的 GUID
       CONTROLTRACE_ID TraceId // 控制的 Trace ID
);

EnableTrace已经被EnableTraceEx2取代了

ULONG WMIAPI EnableTraceEx2(
    [in] CONTROLTRACE_ID          TraceId,               // 控制 Trace 的 ID
    [in] LPCGUID                  ProviderId,            // 事件提供程序的 GUID
    [in] ULONG                    ControlCode,           // 控制代码，决定启用或禁用
    [in] UCHAR                    Level,                 // 事件级别（详细程度）
    [in] ULONGLONG                MatchAnyKeyword,       // 匹配任何关键字
    [in] ULONGLONG                MatchAllKeyword,       // 匹配所有关键字
    [in] ULONG                    Timeout,               // 超时时间（以毫秒为单位）
    [in, optional] PENABLE_TRACE_PARAMETERS EnableParameters // 可选的额外启用参数
);

MatchAnyKeyword和EnableParameters是要重点说的

首先什么是关键字？？

当我们用logman query providers的时候，会显示出所有的已注册的providers

但是我们选择了一个providers，如何精细化匹配的行为呢？？举个例子，Microsoft-Windows-Kernel-Registry对于注册表的操作，肯定有查看，修改啥的，那么如何指定呢？其实就是看这个Keyword

也就是看EnableTraceEx2的MatchAnyKeyword参数

如何查看一个事件提供程序的Keyword呢？

直接logman query providers xxx事件提供程序

然后直接填上去即可 例如 CloseKey|OpenKey，这样就是捕捉打开和关闭注册表的操作

TraceSetInformation 可以用来修改与 EVENT_TRACE_PROPERTIES 结构体相关的设置和信息，尤其是在跟踪会话已启动后，如果你需要在运行时调整跟踪会话的属性和元数据。

ULONG WMIAPI TraceSetInformation(
       CONTROLTRACE_ID  TraceId, //这是一个跟踪会话的标识符。
  [in] TRACE_INFO_CLASS InformationClass,//这是一个枚举值，表示你要设置的具体信息类别。
  [in] PVOID            TraceInformation,//这是一个指向结构体的指针，包含你希望设置的跟踪会话信息。
  [in] ULONG            InformationLength//这是 TraceInformation 指向的数据的大小，以字节为单位。即 TraceInformation 数据的结构体大小。
);

适用于以下场景：

在跟踪会话开始后，可能需要动态调整日志文件的大小或路径。例如，某些应用场景下，日志文件可能会随着时间增长，可能需要调整文件的大小限制或改变日志的存储位置。

在运行中的跟踪会话中，可能会因为事件量的增大，导致内存中缓冲区的大小需要动态调整。

使用示例代码：

// 假设我们要修改的日志文件信息结构体
   TRACE_LOGFILE_PROPERTIES logFileProperties;
   logFileProperties.MaximumFileSize = 50;  // 最大日志文件大小 50MB
   logFileProperties.LogFileMode = EVENT_TRACE_FILE_MODE_APPEND;  // 追加模式
   logFileProperties.FlushTimer = 1;  // 每1秒刷新一次

   // 设置 TRACE_LOGFILE_PROPERTIES 类型的信息
   ULONG status = TraceSetInformation(
       traceId,                          // 会话句柄
       TraceInformationClass::TraceLogFile,  // 信息类别
       &logFileProperties,                // 数据
       sizeof(logFileProperties)          // 数据长度
   );

ControlTrace 函数刷新、查询、更新或停止指定的事件跟踪会话。

ULONG WMIAPI ControlTraceA(
            CONTROLTRACE_ID         TraceId,//会话 ID
  [in]      LPCSTR                  InstanceName,// 会话名称
  [in, out] PEVENT_TRACE_PROPERTIES Properties, //事件跟踪会话的属性
  [in]      ULONG                   ControlCode //控制代码，例如 EVENT_TRACE_CONTROL_STOP
);

EVENT_TRACE_PROPERTIES结构

EVENT_TRACE_PROPERTIES 结构包含有关事件跟踪会话的信息。 定义、更新或查询会话的属性时，可以将此结构与 StartTrace 和 ControlTrace 等 API 配合使用。

EVENT_TRACE_PROPERTIES 结构是用来配置事件跟踪会话的。通过这个结构，你可以指定跟踪会话的各项属性，如日志文件名、缓冲区大小、日志文件模式等。

typedef struct _EVENT_TRACE_PROPERTIES {
  WNODE_HEADER Wnode;
  ULONG        BufferSize;
  ULONG        MinimumBuffers;
  ULONG        MaximumBuffers;
  ULONG        MaximumFileSize;
  ULONG        LogFileMode;
  ULONG        FlushTimer;
  ULONG        EnableFlags;
  union {
    LONG AgeLimit;
    LONG FlushThreshold;
  } DUMMYUNIONNAME;
  ULONG        NumberOfBuffers;
  ULONG        FreeBuffers;
  ULONG        EventsLost;
  ULONG        BuffersWritten;
  ULONG        LogBuffersLost;
  ULONG        RealTimeBuffersLost;
  HANDLE       LoggerThreadId;
  ULONG        LogFileNameOffset;
  ULONG        LoggerNameOffset;
} EVENT_TRACE_PROPERTIES, *PEVENT_TRACE_PROPERTIES;

Wnode: WNODE_HEADER结构。 必须指定 BufferSize、 Flags 和 Guid 成员。 可以选择指定 ClientContext 成员。 一般这样赋值：

Wnode.BufferSize:

指定 sizeof(EVENT_TRACE_PROPERTIES)就行

Wnode.Flags

必须包含 WNODE_FLAG_TRACED_GUID ，以指示结构包含事件跟踪信息。

Wnode.Guid :

如果你的事件提供程序是

Windows Kernel Trace {9E814AAD-3204-11D2-9A82-006008A86939}

那么就要填写为SystemTraceControlGuid
并且这个SystemTraceControlGuid还是有前提的，需要加一个#define

#define INITGUID  // Include this #define to use SystemTraceControlGuid in Evntrace.h.

否则如果是其他事件提供程序，直接填写提供程序的GUID即可

Wnode.ClientContext

记录每个事件的时间戳时要使用的时钟解析。 默认值为 QPC(查询性能计数器,即为1)。

EnableFlags :

仅对系统记录器有效，而系统记录器的会话 GUID 是 SystemTraceControlGuid 或 GlobalLoggerGuid，它们定义了系统级别的跟踪会话。因此，要使用 EnableFlags，Wnode.Guid 必须设置为 SystemTraceControlGuid 或 GlobalLoggerGuid。

配置示例代码

下面是配置 EVENT_TRACE_PROPERTIES 结构的示例代码

看注释

ULONG status = ERROR_SUCCESS;
   TRACEHANDLE SessionHandle = 0;
   EVENT_TRACE_PROPERTIES* pSessionProperties = NULL;
   ULONG BufferSize = 0;

   // Allocate memory for the session properties. The memory must
   // be large enough to include the log file name and session name,
   // which get appended to the end of the session properties structure.

   BufferSize = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(LOGFILE_PATH) + sizeof(KERNEL_LOGGER_NAME);
   pSessionProperties = (EVENT_TRACE_PROPERTIES*)malloc(BufferSize);
   if (NULL == pSessionProperties)
   {
       wprintf(L"Unable to allocate %d bytes for properties structure.\n", BufferSize);
       goto cleanup;
   }

   // Set the session properties. You only append the log file name
   // to the properties structure; the StartTrace function appends
   // the session name for you.

   ZeroMemory(pSessionProperties, BufferSize);
   pSessionProperties->Wnode.BufferSize = BufferSize;//设置 BufferSize，告诉系统 EVENT_TRACE_PROPERTIES 结构的总大小。
   pSessionProperties->Wnode.Flags = WNODE_FLAG_TRACED_GUID; //表示该结构是事件跟踪的 GUID。
   pSessionProperties->Wnode.ClientContext = 1; //QPC clock resolution
   pSessionProperties->Wnode.Guid = SystemTraceControlGuid;//表示是 NT 内核记录器（系统记录器）会话，意味着权限会很高
   pSessionProperties->EnableFlags = EVENT_TRACE_FLAG_PROCESS;//记录Process_TypeGroup1这个成员
   pSessionProperties->LogFileMode = EVENT_TRACE_FILE_MODE_CIRCULAR;//设置日志文件模式为循环模式（EVENT_TRACE_FILE_MODE_CIRCULAR），这意味着当日志文件达到最大大小时，它会覆盖旧的日志数据。
   pSessionProperties->MaximumFileSize = 5;  // 5 MB
   pSessionProperties->LoggerNameOffset = sizeof(EVENT_TRACE_PROPERTIES);//指示会话名称的位置。会话名称会被附加在结构体的后面，因此这个字段指定了会话名称在缓冲区中的偏移量。
   pSessionProperties->LogFileNameOffset = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(KERNEL_LOGGER_NAME);//指示日志文件名的位置。日志文件名将被附加到结构体后面，偏移量也会相应更新。
   StringCbCopy((LPWSTR)((char*)pSessionProperties + pSessionProperties->LogFileNameOffset), sizeof(LOGFILE_PATH), LOGFILE_PATH);//这行代码将日志文件的路径（LOGFILE_PATH）复制到 pSessionProperties 结构的正确位置。

启动示例代码：

然后指定要启用的事件提供程序，这里需要指定对应的GUID

// Add Kernel Process Provider GUID to the session's enabled events
    status = EnableTrace(TRUE, 0, 0, &KernelProcessProviderGuid); 


    if (status != ERROR_SUCCESS)
    {
        wprintf(L"EnableTrace failed with %lu\n", status);
        goto cleanup;
    }

    // Create the trace session.

    status = StartTrace(&SessionHandle, SESSION_NAME_FILE, pSessionProperties);

    if (ERROR_SUCCESS != status)
    {
        if (ERROR_ALREADY_EXISTS == status)
        {
            wprintf(L"The NT Kernel Logger session is already in use.\n");
        }
        else
        {
            wprintf(L"EnableTrace() failed with %lu\n", status);
        }

        goto cleanup;
    }

指定会话属性后，调用 StartTrace 函数启动会话。 如果函数成功执行，则 SessionHandle 参数将包含会话句柄，而 LoggerNameOffset 属性将包含会话名称的偏移量。

设置回调函数分析事件

以下代码 启动并处理 ETW (事件跟踪) 会话的 ，通过 OpenTraceW 打开一个跟踪会话，并使用 ProcessTrace 来处理从 ETL 文件中获取的事件数据。通过回调函数 (ProcessTraceCallback)，可以处理和分析这些事件。

EVENT_TRACE_LOGFILEW m_Logfile;
   ZeroMemory(&m_Logfile, sizeof(m_Logfile));

   // 设置会话名称
   m_Logfile.LoggerName =(LPWSTR)SESSION_NAME_FILE;

//设置etl文件路径
   m_Logfile.LogFileName = (LPWSTR)LOGFILE_PATH;

   // 设置其他必要字段
   m_Logfile.ProcessTraceMode = PROCESS_TRACE_MODE_EVENT_RECORD;

   // 设置回调函数
   m_Logfile.EventRecordCallback =(PEVENT_RECORD_CALLBACK) ProcessTraceCallback;

   // 打开 Trace 会话
   SetLastError(0);
   traceHandle = OpenTraceW(&m_Logfile);  // 使用 OpenTraceW（假设SESSION_NAME_FILE是Unicode字符串）

   if (traceHandle == (TRACEHANDLE)INVALID_HANDLE_VALUE)
   {
       wprintf(L"OpenTraceW failed with error %lu\n", GetLastError());
       return ;
   }

   cout << "开始监视！" << endl;

   // 设置 TRACEHANDLE 数组（你可能会有多个 trace handle）
   m_hTraceHandle_econt[0] = { traceHandle };

   

   // 开始处理事件
   rc = ProcessTrace(m_hTraceHandle_econt, 1, 0, 0);
   if (rc != ERROR_SUCCESS)
   {
       wprintf(L"ProcessTrace failed with error %lu\n", rc);
       return ;
   }

   getchar();

ETW 内置的事件提供程序

1. Kernel Trace Providers（内核跟踪提供程序）

这些提供程序主要监控操作系统内核的活动：

• Microsoft-Windows-Kernel-Process：监控进程的创建、退出、暂停等。
• Microsoft-Windows-Kernel-Thread：用于跟踪线程的创建和退出。
• Microsoft-Windows-Kernel-File：监控文件系统活动，如文件打开、关闭、读取和写入。
• Microsoft-Windows-Kernel-Power：跟踪系统电源管理事件，例如休眠、关机、恢复等。
• Microsoft-Windows-Kernel-Performance：提供与性能相关的事件，例如CPU使用情况、内存使用等。
• Microsoft-Windows-Kernel-EventTracing：提供内核级的ETW事件，包括内核事件跟踪。

2. Security Providers（安全提供程序）

这些提供程序与安全相关的事件：

• Microsoft-Windows-Security-Auditing：用于跟踪用户登录、文件访问控制、权限更改等安全相关事件。
• Microsoft-Windows-Security-Kerberos：跟踪与Kerberos认证相关的事件。
• Microsoft-Windows-Security-SPP：跟踪与软件保护平台相关的事件。

3. Application Providers（应用程序提供程序）

这些提供程序用于跟踪应用程序的活动：

• Microsoft-Windows-Application-Experience：提供与应用程序兼容性和性能相关的事件。
• Microsoft-Windows-Diagnostics-Performance：监控系统诊断信息，帮助分析系统性能问题。
• Microsoft-Windows-AppLocker：跟踪AppLocker策略事件，检查可执行文件的运行。

4. Networking Providers（网络提供程序）

这些提供程序专注于网络活动：

• Microsoft-Windows-TCPIP：用于跟踪TCP/IP协议栈的事件，包括网络连接、断开等。
• Microsoft-Windows-DNS-Client：跟踪DNS客户端的活动。
• Microsoft-Windows-WLAN-AutoConfig：用于跟踪无线网络的连接和配置事件。

5. Other System Providers（其他系统提供程序）

这些提供程序提供关于系统其他方面的详细信息：

• Microsoft-Windows-WMI-Activity：用于跟踪WMI活动。
• Microsoft-Windows-Disk：用于磁盘设备活动跟踪，例如磁盘访问、读写操作等。
• Microsoft-Windows-Shell-Core：用于跟踪Windows Shell（如资源管理器）的事件。
• Microsoft-Windows-DriverFrameworks-UserMode：跟踪用户模式下的驱动程序框架的事件。

6. Performance Providers（性能提供程序）

这些提供程序提供与系统性能相关的信息：

• Microsoft-Windows-Performance-Counters-Group：提供关于系统性能计数器的事件数据。
• Microsoft-Windows-Performance-Edge：监控系统性能并提供优化建议。

7. Other Specialized Providers（其他特定用途提供程序）

• Microsoft-Windows-TaskScheduler：用于跟踪任务调度程序的事件，如任务启动、停止等。
• Microsoft-Windows-EventCollector：收集ETW事件的数据并进行处理。

添加栈回溯

在EnableTraceEx2这个函数中

[in, optional] EnableParameters

用于启用提供程序的跟踪参数。 有关详细信息，请参阅 ENABLE_TRACE_PARAMETERS。

_ENABLE_TRACE_PARAMETERS 的EnableProperty成员要填EVENT_ENABLE_PROPERTY_STACK_TRACE

这样可以在CallBack收到的信息里面，得到栈的信息

VOID WINAPI EventCallback(PEVENT_RECORD EventRecord) {
    // 检查 Extended Data
    if (EventRecord->ExtendedDataCount > 0) {
        for (USHORT i = 0; i < EventRecord->ExtendedDataCount; i++) {
            // 获取扩展数据描述符
            PEVENT_HEADER_EXTENDED_DATA_ITEM data = &EventRecord->ExtendedData[i];

            // 检查是否是堆栈跟踪类型
            if (data->ExtType == EVENT_HEADER_EXT_TYPE_STACK_TRACE32 ||
                data->ExtType == EVENT_HEADER_EXT_TYPE_STACK_TRACE64) {
                // 获取堆栈信息
                PVOID stackData = data->DataPtr;

                // 根据类型解析堆栈（32 位或 64 位）
                if (data->ExtType == EVENT_HEADER_EXT_TYPE_STACK_TRACE64) {
                    ULONGLONG* stackAddresses = (ULONGLONG*)stackData;
                    for (USHORT j = 0; j < data->DataSize / sizeof(ULONGLONG); j++) {
                        printf("Stack Address [64-bit]: 0x%llx\n", stackAddresses[j]);
                    }
                } else if (data->ExtType == EVENT_HEADER_EXT_TYPE_STACK_TRACE32) {
                    DWORD* stackAddresses = (DWORD*)stackData;
                    for (USHORT j = 0; j < data->DataSize / sizeof(DWORD); j++) {
                        printf("Stack Address [32-bit]: 0x%x\n", stackAddresses[j]);
                    }
                }
            }
        }
    }
}

对于会话的操作

查询事件提供程序

logman query providers | findstr "Microsoft-Windows-Kernel-Process"

这个可以查询例如 Microsoft-Windows-Kernel-Process 这个事件提供程序的GUID

查询会话

logman query -ets

关闭指定会话

logman stop "会话名称" -ets

下面是启用内置事件提供程序的代码，我查到的Microsoft-Windows-Kernel-Process的GUID是

GUID KernelProcessProviderGuid = { 0x22FB2CD6, 0x0E7B, 0x422B, { 0xA0, 0xC7, 0x2F, 0xAD, 0x1F, 0xD0, 0xE7, 0x16 } };

#include <iostream>
#include <windows.h>
#include <stdio.h>
#include <windows.h>
#include <evntrace.h>
#include <evntcons.h>
#include <strsafe.h>
using namespace std;
#define SESSION_NAME_FILE  L"myETWsession"  // 确保会话名称是有效的
#define LOGFILE_PATH L"C:\\Users\\nzt\\Desktop\\etw.etl"


GUID ProviderGuid = {
  0xa4b4ba50, 0xa667, 0x43f5, { 0x91, 0x9b, 0x1e, 0x52, 0xa6, 0xd6, 0x9b, 0xd5 }
};

TCHAR SessionName[] = TEXT("InjSession");


VOID
WINAPI
TraceEventCallback(
    _In_ PEVENT_RECORD EventRecord
)
{
    if (!EventRecord->UserData)
    {
        return;
    }

    //
    // TODO: Check that EventRecord contains only WCHAR string.
    //

    wprintf(L"[PID:%04X][TID:%04X] %s\n",
        EventRecord->EventHeader.ProcessId,
        EventRecord->EventHeader.ThreadId,
        (PWCHAR)EventRecord->UserData);
}

VOID
NTAPI
TraceStop(
    VOID
)
{
    BYTE Buffer[sizeof(EVENT_TRACE_PROPERTIES) + 4096];
    RtlZeroMemory(Buffer, sizeof(Buffer));

    PEVENT_TRACE_PROPERTIES EventTraceProperties = (PEVENT_TRACE_PROPERTIES)Buffer;
    EventTraceProperties->Wnode.BufferSize = sizeof(Buffer);

    StopTrace(0, SessionName, EventTraceProperties);
}


BOOL
WINAPI
CtrlCHandlerRoutine(
    _In_ DWORD dwCtrlType
)
{
    if (dwCtrlType == CTRL_C_EVENT)
    {
        //
        // Ctrl+C was pressed, stop the trace session.
        //
        printf("Ctrl+C pressed, stopping trace session...\n");

        TraceStop();
    }

    return FALSE;
}


ULONG
NTAPI
TraceStart(
    VOID
)
{
    ULONG status = ERROR_SUCCESS;
    TRACEHANDLE SessionHandle = 0;
    EVENT_TRACE_PROPERTIES* pSessionProperties = NULL;
    ULONG BufferSize = 0;
    // Set up the callback for processing the trace events
    EVENT_TRACE_LOGFILE logFile = { 0 };
    TRACEHANDLE traceHandle=NULL;
    EVENT_TRACE_LOGFILEW m_Logfile = { 0 };
    ULONG rc=NULL;
    // Allocate memory for the session properties. The memory must
    // be large enough to include the log file name and session name,
    // which get appended to the end of the session properties structure.

    BufferSize = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(LOGFILE_PATH) + sizeof(KERNEL_LOGGER_NAME);
    pSessionProperties = (EVENT_TRACE_PROPERTIES*)malloc(BufferSize);
    if (NULL == pSessionProperties)
    {
        wprintf(L"Unable to allocate %d bytes for properties structure.\n", BufferSize);
        goto Exit;
    }

    // Set the session properties. You only append the log file name
    // to the properties structure; the StartTrace function appends
    // the session name for you.

    ZeroMemory(pSessionProperties, BufferSize);
    pSessionProperties->Wnode.BufferSize = BufferSize;
    pSessionProperties->Wnode.Flags = WNODE_FLAG_TRACED_GUID;
    pSessionProperties->Wnode.ClientContext = 1; //QPC clock resolution
    //pSessionProperties->EnableFlags = EVENT_TRACE_FLAG_PROCESS;
    pSessionProperties->LogFileMode = PROCESS_TRACE_MODE_REAL_TIME;//****这里原来是 EVENT_TRACE_FILE_MODE_CIRCULAR;
    pSessionProperties->MaximumFileSize = 50;  // 50 MB
    pSessionProperties->LoggerNameOffset = sizeof(EVENT_TRACE_PROPERTIES);
    pSessionProperties->LogFileNameOffset = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(KERNEL_LOGGER_NAME);
    StringCbCopy((LPWSTR)((char*)pSessionProperties + pSessionProperties->LogFileNameOffset), sizeof(LOGFILE_PATH), LOGFILE_PATH);

    //// Add Kernel Process Provider GUID to the session's enabled events
    //status = EnableTrace(TRUE, 0, 0, &KernelProcessProviderGuid);

    if (status != ERROR_SUCCESS)
    {
        wprintf(L"EnableTrace failed with %lu\n", status);
        goto Exit;
    }

    // Create the trace session.

    status = StartTrace(&SessionHandle, SESSION_NAME_FILE, pSessionProperties);

    if (ERROR_SUCCESS != status)
    {
        if (ERROR_ALREADY_EXISTS == status)
        {
            wprintf(L"The NT Kernel Logger session is already in use.\n");
        }
        else
        {
            wprintf(L"EnableTrace() failed with %lu\n", status);
        }

        goto Exit;
    }

    // Enable the trace for Kernel Process events
    status = EnableTrace(TRUE, 0, 0, &ProviderGuid, SessionHandle);

    if (ERROR_SUCCESS != status)
    {
        wprintf(L"ProcessTrace() failed with %lu\n", status);
        goto Exit;
    }







    ZeroMemory(&m_Logfile, sizeof(m_Logfile));

    // 设置会话名称
    m_Logfile.LoggerName = (LPWSTR)SESSION_NAME_FILE;

    m_Logfile.LogFileName = (LPWSTR)LOGFILE_PATH;
    // 设置其他必要字段
    m_Logfile.ProcessTraceMode = PROCESS_TRACE_MODE_EVENT_RECORD | PROCESS_TRACE_MODE_REAL_TIME;

    // 设置回调函数
    m_Logfile.EventRecordCallback = (PEVENT_RECORD_CALLBACK)TraceEventCallback;
    //m_Logfile.Context = (PVOID)0x114514;  // 随便输入一个数，这里是模拟上下文数据

    // 打开 Trace 会话
    SetLastError(0);
    traceHandle = OpenTraceW(&m_Logfile);  // 使用 OpenTraceW（假设SESSION_NAME_FILE是Unicode字符串）

    if (traceHandle == (TRACEHANDLE)INVALID_HANDLE_VALUE)
    {
        wprintf(L"OpenTraceW failed with error %lu\n", GetLastError());
        system("pause");
        return (ULONG)INVALID_HANDLE_VALUE;
    }



   

    // 开始处理事件
    rc = ProcessTrace(&traceHandle, 1, 0, 0);
    if (rc != ERROR_SUCCESS)
    {
        wprintf(L"ProcessTrace failed with error %lu\n", rc);
        return (ULONG)ERROR_SUCCESS;
    }
    cout << "开始监视！" << endl;


    getchar();



Exit:
    if (traceHandle)
    {
        CloseTrace(traceHandle);
    }

    if (SessionHandle)
    {
        CloseTrace(SessionHandle);
    }

    RtlZeroMemory(pSessionProperties, sizeof(pSessionProperties));
    pSessionProperties->Wnode.BufferSize = sizeof(pSessionProperties);
    StopTrace(0, SessionName, pSessionProperties);

    if (rc != ERROR_SUCCESS)
    {
        printf("Error: %08x\n", rc);
    }
    system("pause");
    return rc;

}



int main()
{
    SetConsoleCtrlHandler(&CtrlCHandlerRoutine, TRUE);
    TraceStop();

    printf("Starting tracing session...\n");

    ULONG ErrorCode = TraceStart();
    return ErrorCode == ERROR_SUCCESS
        ? EXIT_SUCCESS
        : EXIT_FAILURE;
}

当然，以上代码相当失败，原因我觉得可能本身这系统内置的事件提供程序就不是给我用的…….

可能我选择的Microsoft-Windows-Kernel-Process根本就不收集这些信息？？

所以还是自己写提供程序貌似会靠谱一点

自己写事件提供程序

示例代码：

#pragma once
extern "C"
{
#include <ntifs.h>
#include <ntddk.h>
#include <wdm.h>
#include <evntrace.h>  // 包含ETW定义
#include <initguid.h>  // 必须包含此头文件
	NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath);
	VOID DriverUnloadRoutine(IN PDRIVER_OBJECT DriverObject);
	// 注册ETW提供者
	REGHANDLE RegHandle;
	// 定义ETW提供者的GUID
	DEFINE_GUID(
		MyEtwProviderGuid,
		0xAAD7DEA9, 0xB6FD, 0xC1FB, 0x8C, 0xE4, 0xAF, 0x03, 0xCA, 0x2B, 0xFC, 0x25
	);
	bool StopWritingThread = false;
}



#include "header.h"
#define EVENT_TRACE_LEVEL_INFORMATION 4
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
    UNREFERENCED_PARAMETER(RegistryPath);
    KdPrint(("Create!"));
    KdBreakPoint();
    // 驱动程序卸载例程&注册例程
    DriverObject->DriverUnload = DriverUnloadRoutine;
    //创建设备
    NTSTATUS status;
    PDEVICE_OBJECT DeviceObject = NULL;
    UNICODE_STRING DeviceName;
    RtlInitUnicodeString(&DeviceName, L"\\Device\\MyDevice");
    status = IoCreateDevice(
        DriverObject,                // 驱动程序对象
        0,                           // 设备扩展大小
        &DeviceName,                 // 设备名称
        FILE_DEVICE_UNKNOWN,         // 设备类型
        0,                           // 设备特征
        FALSE,                       // 非独占设备
        &DeviceObject                // 返回的设备对象指针
    );

    if (!NT_SUCCESS(status))
    {
        KdPrint(("Failed to create device: %X\n", status));
        return status;
    }
    KdPrint(("Device created successfully\n"));

    UNICODE_STRING symbolicLink = RTL_CONSTANT_STRING(L"\\??\\MyDevice_Link");
    status = IoCreateSymbolicLink(&symbolicLink, &DeviceName);
    if (!NT_SUCCESS(status))
    {
        KdPrint(("Failed to create device: %X\n", status));
        return status;
    }

    
    NTSTATUS Status = EtwRegister(&MyEtwProviderGuid, NULL, NULL, &RegHandle);

    if (!NT_SUCCESS(Status))
    {
        KdPrint(("Failed to register ETW provider: 0x%X\n", Status));
        return Status;
    }

    KdPrint(("ETW provider registered successfully\n"));

    // 写入 ETW 事件
    if (RegHandle)
    {
        PCWSTR Message = L"Hello from kernel mode!";
        // 写入事件
        // 关键字（可以根据需要设定）
        ULONGLONG keyword = 0x1;
        status = EtwWriteString(RegHandle, EVENT_TRACE_LEVEL_INFORMATION, keyword, NULL, Message);
        KdPrint(("ETW event written: %ws\n", Message));
    }

    if (!NT_SUCCESS(status)) {
        DbgPrint("EtwWriteString failed: %08x\n", status);
        return STATUS_UNSUCCESSFUL;
    }


    KdPrint(("Device created successfully\n"));
    return STATUS_SUCCESS;
}
VOID DriverUnloadRoutine(IN PDRIVER_OBJECT DriverObject)
{

    if (RegHandle != NULL) {
        EtwUnregister(RegHandle);
        DbgPrint("ETW provider unregistered.\n");
    }
    if (DriverObject->DeviceObject != NULL)
    {
        UNICODE_STRING symbolicLink = RTL_CONSTANT_STRING(L"\\??\\MyDevice_Link");
        IoDeleteSymbolicLink(&symbolicLink);
        IoDeleteDevice(DriverObject->DeviceObject);
    }

    DbgPrint("Driver unloaded\n");
}

三环代码：

#include <iostream>
#include <windows.h>
#include <stdio.h>
#include <windows.h>
#include <evntrace.h>
#include <evntcons.h>
#include <strsafe.h>
using namespace std;
#define SESSION_NAME_FILE  L"myETWsession"  // 确保会话名称是有效的
#define LOGFILE_PATH L"C:\\Users\\nzt\\Desktop\\etw.etl"


GUID ProviderGuid = {
  0xAAD7DEA9, 0xB6FD, 0xC1FB, 0x8C, 0xE4, 0xAF, 0x03, 0xCA, 0x2B, 0xFC, 0x25
};

TCHAR SessionName[] = TEXT("InjSession");


VOID
WINAPI
TraceEventCallback(
    _In_ PEVENT_RECORD EventRecord
)
{
    if (!EventRecord->UserData)
    {
        return;
    }

    //
    // TODO: Check that EventRecord contains only WCHAR string.
    //

    wprintf(L"[PID:%04X][TID:%04X] %s\n",
        EventRecord->EventHeader.ProcessId,
        EventRecord->EventHeader.ThreadId,
        (PWCHAR)EventRecord->UserData);
}

VOID
NTAPI
TraceStop(
    VOID
)
{
    BYTE Buffer[sizeof(EVENT_TRACE_PROPERTIES) + 4096];
    RtlZeroMemory(Buffer, sizeof(Buffer));

    PEVENT_TRACE_PROPERTIES EventTraceProperties = (PEVENT_TRACE_PROPERTIES)Buffer;
    EventTraceProperties->Wnode.BufferSize = sizeof(Buffer);

    StopTrace(0, SessionName, EventTraceProperties);
}


BOOL
WINAPI
CtrlCHandlerRoutine(
    _In_ DWORD dwCtrlType
)
{
    if (dwCtrlType == CTRL_C_EVENT)
    {
        //
        // Ctrl+C was pressed, stop the trace session.
        //
        printf("Ctrl+C pressed, stopping trace session...\n");

        TraceStop();
    }

    return FALSE;
}


ULONG
NTAPI
TraceStart(
    VOID
)
{
    ULONG status = ERROR_SUCCESS;
    TRACEHANDLE SessionHandle = 0;
    EVENT_TRACE_PROPERTIES* pSessionProperties = NULL;
    ULONG BufferSize = 0;
    // Set up the callback for processing the trace events
    EVENT_TRACE_LOGFILE logFile = { 0 };
    TRACEHANDLE traceHandle = NULL;
    EVENT_TRACE_LOGFILEW m_Logfile = { 0 };
    ULONG rc = NULL;
    // Allocate memory for the session properties. The memory must
    // be large enough to include the log file name and session name,
    // which get appended to the end of the session properties structure.

    BufferSize = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(LOGFILE_PATH) + sizeof(KERNEL_LOGGER_NAME);
    pSessionProperties = (EVENT_TRACE_PROPERTIES*)malloc(BufferSize);
    if (NULL == pSessionProperties)
    {
        wprintf(L"Unable to allocate %d bytes for properties structure.\n", BufferSize);
        goto Exit;
    }

    // Set the session properties. You only append the log file name
    // to the properties structure; the StartTrace function appends
    // the session name for you.

    ZeroMemory(pSessionProperties, BufferSize);
    pSessionProperties->Wnode.BufferSize = BufferSize;
    pSessionProperties->Wnode.Flags = WNODE_FLAG_TRACED_GUID;
    pSessionProperties->Wnode.ClientContext = 1; //QPC clock resolution
    //pSessionProperties->EnableFlags = EVENT_TRACE_FLAG_PROCESS;
    pSessionProperties->LogFileMode = PROCESS_TRACE_MODE_REAL_TIME;//****这里原来是 EVENT_TRACE_FILE_MODE_CIRCULAR;
    pSessionProperties->MaximumFileSize = 50;  // 50 MB
    pSessionProperties->LoggerNameOffset = sizeof(EVENT_TRACE_PROPERTIES);
    pSessionProperties->LogFileNameOffset = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(KERNEL_LOGGER_NAME);
    StringCbCopy((LPWSTR)((char*)pSessionProperties + pSessionProperties->LogFileNameOffset), sizeof(LOGFILE_PATH), LOGFILE_PATH);

    //// Add Kernel Process Provider GUID to the session's enabled events
    //status = EnableTrace(TRUE, 0, 0, &KernelProcessProviderGuid);

    if (status != ERROR_SUCCESS)
    {
        wprintf(L"EnableTrace failed with %lu\n", status);
        goto Exit;
    }

    // Create the trace session.

    status = StartTrace(&SessionHandle, SESSION_NAME_FILE, pSessionProperties);

    if (ERROR_SUCCESS != status)
    {
        if (ERROR_ALREADY_EXISTS == status)
        {
            wprintf(L"The NT Kernel Logger session is already in use.\n");
        }
        else
        {
            wprintf(L"EnableTrace() failed with %lu\n", status);
        }

        goto Exit;
    }

    // Enable the trace for Kernel Process events
    status = EnableTrace(TRUE, 0, 0, &ProviderGuid, SessionHandle);

    if (ERROR_SUCCESS != status)
    {
        wprintf(L"ProcessTrace() failed with %lu\n", status);
        goto Exit;
    }







    ZeroMemory(&m_Logfile, sizeof(m_Logfile));

    // 设置会话名称
    m_Logfile.LoggerName = (LPWSTR)SESSION_NAME_FILE;

    m_Logfile.LogFileName = (LPWSTR)LOGFILE_PATH;
    // 设置其他必要字段
    m_Logfile.ProcessTraceMode = PROCESS_TRACE_MODE_EVENT_RECORD | PROCESS_TRACE_MODE_REAL_TIME;

    // 设置回调函数
    m_Logfile.EventRecordCallback = (PEVENT_RECORD_CALLBACK)TraceEventCallback;
    //m_Logfile.Context = (PVOID)0x114514;  // 随便输入一个数，这里是模拟上下文数据

    // 打开 Trace 会话
    SetLastError(0);
    traceHandle = OpenTraceW(&m_Logfile);  // 使用 OpenTraceW（假设SESSION_NAME_FILE是Unicode字符串）

    if (traceHandle == (TRACEHANDLE)INVALID_HANDLE_VALUE)
    {
        wprintf(L"OpenTraceW failed with error %lu\n", GetLastError());
        system("pause");
        return (ULONG)INVALID_HANDLE_VALUE;
    }





    // 开始处理事件
    rc = ProcessTrace(&traceHandle, 1, 0, 0);
    if (rc != ERROR_SUCCESS)
    {
        wprintf(L"ProcessTrace failed with error %lu\n", rc);
        return (ULONG)ERROR_SUCCESS;
    }
    cout << "开始监视！" << endl;


    getchar();



Exit:
    if (traceHandle)
    {
        CloseTrace(traceHandle);
    }

    if (SessionHandle)
    {
        CloseTrace(SessionHandle);
    }

    RtlZeroMemory(pSessionProperties, sizeof(pSessionProperties));
    pSessionProperties->Wnode.BufferSize = sizeof(pSessionProperties);
    StopTrace(0, SessionName, pSessionProperties);

    if (rc != ERROR_SUCCESS)
    {
        printf("Error: %08x\n", rc);
    }
    system("pause");
    return rc;

}



int main()
{
    SetConsoleCtrlHandler(&CtrlCHandlerRoutine, TRUE);
    TraceStop();

    printf("Starting tracing session...\n");
    system("pause");
    ULONG ErrorCode = TraceStart();
    return ErrorCode == ERROR_SUCCESS
        ? EXIT_SUCCESS
        : EXIT_FAILURE;
}

效果展示：

（这里是改了驱动代码，起一个线程，每三秒打印一次）

利用系统注册好的事件提供程序进行监控

查询所有注册好的事件提供程序（providers）

logman query providers

查看已经开启的会话

logman query -ets

模板如下：

#include <windows.h>
#include <evntrace.h>
#include <evntcons.h>
#include <iostream>
#include <iomanip>
#include <dbghelp.h>
#include <unordered_map>
#pragma comment(lib, "dbghelp.lib")

// GUID for Microsoft-Windows-Kernel-Memory
static const GUID KernelMemoryGuid = { 0xD1D93EF7, 0xE1F2, 0x4F45, { 0x99, 0x43, 0x03, 0xD2, 0x45, 0xFE, 0x6C, 0x00 } };

// Store initialized process handles for symbol resolution
std::unordered_map<DWORD, HANDLE> processHandleMap;

// Initialize the symbol handler for a specific process
bool InitializeSymbolHandlerForProcess(DWORD processId) {
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, processId);
    if (hProcess == nullptr) {
        std::cerr << "Failed to open process " << processId << ". Error: " << GetLastError() << std::endl;
        return false;
    }

    if (!SymInitialize(hProcess, NULL, TRUE)) {
        std::cerr << "Failed to initialize symbol handler for process " << processId
            << ". Error: " << GetLastError() << std::endl;
        CloseHandle(hProcess);
        return false;
    }

    // Store the process handle
    processHandleMap[processId] = hProcess;
    return true;
}

// Cleanup all symbol handlers and process handles
void CleanupSymbolHandlers() {
    for (auto& entry : processHandleMap) {
        SymCleanup(entry.second);
        CloseHandle(entry.second);
    }
    processHandleMap.clear();
}

// Helper to resolve function name from address for a specific process
std::string ResolveFunctionNameForProcess(HANDLE hProcess, ULONG64 address) {
    char buffer[sizeof(SYMBOL_INFO) + MAX_SYM_NAME * sizeof(TCHAR)] = { 0 };
    PSYMBOL_INFO symbol = reinterpret_cast<PSYMBOL_INFO>(buffer);
    symbol->SizeOfStruct = sizeof(SYMBOL_INFO);
    symbol->MaxNameLen = MAX_SYM_NAME;

    DWORD64 displacement = 0;
    if (SymFromAddr(hProcess, address, &displacement, symbol)) {
        return std::string(symbol->Name);
    }
    else {
        return "Unknown";
    }
}

// Global variable to store the last stack address or memory address
ULONG64 lastAddress = 0;
int flag = 0;
// Callback function to process events
VOID WINAPI EventCallback(PEVENT_RECORD EventRecord) {

    DWORD processId = EventRecord->EventHeader.ProcessId;

    std::cout << "  Event ID: " << EventRecord->EventHeader.EventDescriptor.Id << std::endl;
    std::cout << "  Process ID: " << processId << std::endl;
    std::cout << "  Thread ID: " << EventRecord->EventHeader.ThreadId << std::endl;

    // Ensure the symbol handler for this process is initialized
    if (processHandleMap.find(processId) == processHandleMap.end()) {
        if (!InitializeSymbolHandlerForProcess(processId)) {
            //std::cout << "  Failed to initialize symbol handler for Process ID " << processId << "." << std::endl;
            return;
        }
    }

    HANDLE hProcess = processHandleMap[processId];

    // Check for stack trace data
    if (EventRecord->ExtendedDataCount > 0) {
        

        for (USHORT i = 0; i < EventRecord->ExtendedDataCount; i++) {

            auto& extData = EventRecord->ExtendedData[i];
            if (extData.ExtType == EVENT_HEADER_EXT_TYPE_STACK_TRACE32 ||
                extData.ExtType == EVENT_HEADER_EXT_TYPE_STACK_TRACE64) {

                // Parse stack trace
                ULONG64* stackTrace = reinterpret_cast<ULONG64*>(extData.DataPtr);
                ULONG traceCount = extData.DataSize / sizeof(ULONG64);

              /*  if (((stackTrace[0] != lastAddress) && lastAddress != 0) && (((stackTrace[0] - lastAddress) < 0x10000) && lastAddress != 0))
                {
                    break;F
                }*/

                std::cout << "  Stack Trace Information:" << std::endl;
                std::cout << "ETW Event Received:" << std::endl;
                

                for (ULONG j = 0; j < traceCount; j++) {
                    if (j == 0)
                    {
                        lastAddress = stackTrace[j];
                    }
                    std::string functionName = ResolveFunctionNameForProcess(hProcess, stackTrace[j]);
                    if (j == 1 && functionName == "ZwProtectVirtualMemory")
                    {
                        std::string functionName2 = ResolveFunctionNameForProcess(hProcess, stackTrace[j+1]);
                        if ( functionName2 == "VirtualProtect")
                        {
                            std::cout << "正常调用" << std::endl;
                        }
                        else
                        {
                            std::cout << "不正常调用" << std::endl;
                        }
                    }
                    std::cout << "    [" << j << "] 0x"
                        << std::hex << std::setw(16) << std::setfill('0') << stackTrace[j]
                        << " (" << functionName << ")" << std::endl;
                }
               
            }
        }
        flag += 1;
        if (flag % 2 == 0)
        {
            flag = 0;
        }
        
    }
    else {
        std::cout << "  No stack trace information available." << std::endl;
    }

}

// Callback function for trace buffer processing
ULONG WINAPI BufferCallback(PEVENT_TRACE_LOGFILE Buffer) {
    return TRUE; // Continue processing
}

int main() {
    system("pause");
    TRACEHANDLE sessionHandle = 0;
    TRACEHANDLE traceHandle = 0;

    // Start the ETW session
    EVENT_TRACE_PROPERTIES* traceProperties = (EVENT_TRACE_PROPERTIES*)malloc(sizeof(EVENT_TRACE_PROPERTIES) + 1024);
    if (!traceProperties) {
        std::cerr << "Failed to allocate memory for EVENT_TRACE_PROPERTIES." << std::endl;
        return 1;
    }

    ZeroMemory(traceProperties, sizeof(EVENT_TRACE_PROPERTIES) + 1024);
    traceProperties->Wnode.BufferSize = sizeof(EVENT_TRACE_PROPERTIES) + 1024;
    traceProperties->Wnode.Guid = KernelMemoryGuid;
    traceProperties->Wnode.Flags = WNODE_FLAG_TRACED_GUID;
    traceProperties->LogFileMode = EVENT_TRACE_REAL_TIME_MODE;
    traceProperties->MaximumFileSize = 0; // No log file
    traceProperties->LoggerNameOffset = sizeof(EVENT_TRACE_PROPERTIES);

    WCHAR sessionName[] = L"MyKernelMemorySession";
    ULONG status = StartTrace(&sessionHandle, sessionName, traceProperties);
    if (status != ERROR_SUCCESS) {
        std::cerr << "Failed to start ETW session. Error: " << status << std::endl;
        free(traceProperties);
        return 1;
    }
    ENABLE_TRACE_PARAMETERS enableParameters = { 0 };
    enableParameters.Version = ENABLE_TRACE_PARAMETERS_VERSION;
    enableParameters.EnableProperty = EVENT_ENABLE_PROPERTY_STACK_TRACE;
    // Enable the provider
    status = EnableTraceEx2(
        sessionHandle,
        &KernelMemoryGuid,
        EVENT_CONTROL_CODE_ENABLE_PROVIDER,
        TRACE_LEVEL_INFORMATION,
        0x8000000000000100, // Keyword
        0,                  // Match any level
        0,                  // No timeout
        &enableParameters
    );

    if (status != ERROR_SUCCESS) {
        std::cerr << "Failed to enable ETW provider. Error: " << status << std::endl;
        StopTrace(sessionHandle, sessionName, traceProperties);
        free(traceProperties);
        return 1;
    }

    // Open a trace for real-time processing
    EVENT_TRACE_LOGFILE logFile = { 0 };
    logFile.LoggerName = sessionName;
    logFile.ProcessTraceMode = PROCESS_TRACE_MODE_EVENT_RECORD | PROCESS_TRACE_MODE_REAL_TIME;
    logFile.EventRecordCallback = (PEVENT_RECORD_CALLBACK)(EventCallback); //每次有新事件记录时触发
    logFile.BufferCallback = BufferCallback;//当 ETW 内部完成了 一个缓冲区的处理 或 当缓冲区中的事件记录即将被传递到 EventCallback 时触发。

    traceHandle = OpenTrace(&logFile);
    if (traceHandle == INVALID_PROCESSTRACE_HANDLE) {
        std::cerr << "Failed to open trace. Error: " << GetLastError() << std::endl;
        StopTrace(sessionHandle, sessionName, traceProperties);
        free(traceProperties);
        return 1;
    }

    std::cout << "Listening for ETW events. Press Ctrl+C to stop..." << std::endl;

    // Process the events
    status = ProcessTrace(&traceHandle, 1, NULL, NULL);
    if (status != ERROR_SUCCESS) {
        std::cerr << "Failed to process trace. Error: " << status << std::endl;
    }

    // Clean up
    CloseTrace(traceHandle);
    StopTrace(sessionHandle, sessionName, traceProperties);
    free(traceProperties);

    std::cout << "ETW session stopped." << std::endl;
    return 0;
}

参考文章

ETW笔记 | sup817ch’s blog