【发布时间】:2010-12-22 11:58:59
【问题描述】:
我希望能够实时记录内核模式驱动程序的活动(我有完整的符号)。这是一个 HID 迷你类驱动程序。我希望记录此驱动程序中调用的执行情况(每次 IRP 进入和离开驱动程序时的堆栈跟踪)。
这可能吗(可能使用 EWT 和/或 WPT)?
【问题讨论】:
-
您想从您的驱动程序中跟踪 IRP 吗?
标签: c kernel driver trace stack-trace
【发布时间】:2010-12-22 11:58:59
【问题描述】:
ETW 跟踪怎么样? MS在窗户内使用它。它还会为您提供调用堆栈。
这里是link
【讨论】:
-
ETW 追踪似乎是我想要的,但复杂性需要 SMP 大脑才能有效地使用它。我很久以前就完成了那个项目,但我应该学会在我当前的项目中使用 ETW!
-
我在编写的一些代码中一直使用 ETW,我已经看到了使用它的巨大好处。
如果您只需要监控 IRP,您可以使用 Irp Tracker utility。
【讨论】:
-
不是我想要的,但这似乎是一个很棒的工具。很有用,谢谢!太糟糕了,它似乎只有 32 位。