Windows Server 2008 R2でsyscallのカーネルトレースを実行するために、Event Tracing for Windows(ETW)を使用しています。
私は走っています:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets
結果のカーネルトレースでは、SysCallAddress属性を調べており、期待するものがたくさんあります。たとえば、nt!NtWriteFileである0xFFFFF80001999EE0です。
問題は、0xFFFFF960の範囲に多くのアドレス(たとえば0xFFFFF9600004421C)が表示されており、これらのアドレスに何があるのかわからないことです。カーネルデバッガーのlnコマンドは、これらのアドレスのいずれについても情報を返しません。カーネルトレーサーがシステムコールと見なすこれらのアドレスに何が存在するかを誰かが知っていますか?