当前位置：易语言资源网 > 高级教程源码 > 帖子内容

【易首发】使用Etw监视全系统IMAGE加载卸载情况 [复制链接]

前言：

Etw具有强大的功能，可以利用它写出强大的监视程序。
易语言中似乎没有人研究过Etw，我就用Etw写了这个监视全系统进程映像加载和卸载的例子。
具体代码已经写出来了，可自行参考：
监视样例：
由于驱动程序可看作ntoskrnl.exe的映像，所以本程序可以监视驱动的加载卸载：
另外，在程序监视过程中，“计算机管理”-\>“系统工具”-\>“性能”-\>“数据收集器集”-\>“事件跟踪会话”中便可看到监视的内容（程序只启用了WINEVENT_KEYWORD_IMAGE，用命令启用其他功能可以编写其他功能强大的监视程序）：