プロセス/ファイル/レジストリ/ネットワークの監視のためにETWを調査しています。Win7では必要なものがすべて揃っているようです。ただし、XP では、同じレベルの詳細が欠けているようです。具体的には、ファイル IO のみで「FileCreate」イベントがログに記録されているように見え、プロセス作成イベントは完全なパスを提供しません。
ETW を使用して XP でファイルがいつ書き込まれるかを判断することはできますか? プロセス開始イベントへのフルパスはどうですか?
プロセス/ファイル/レジストリ/ネットワークの監視のためにETWを調査しています。Win7では必要なものがすべて揃っているようです。ただし、XP では、同じレベルの詳細が欠けているようです。具体的には、ファイル IO のみで「FileCreate」イベントがログに記録されているように見え、プロセス作成イベントは完全なパスを提供しません。
ETW を使用して XP でファイルがいつ書き込まれるかを判断することはできますか? プロセス開始イベントへのフルパスはどうですか?