我正在使用Windows Event Tracing for Windows(ETW)对Windows Server 2008 R2中的系统调用进行内核跟踪。
我正在运行:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets
在生成的内核跟踪中,我正在查看 SysCallAddress 属性,我看到了很多我所期望的内容:例如0xFFFFF80001999EE0哪个是 nt!NtWriteFile.
问题是我在0xFFFFF960范围内看到很多地址,例如0xFFFFF9600004421C,我不知道这些地址是什么。 内核调试器中的 ln 命令不返回任何这些地址的信息。 有谁知道内核跟踪器视为系统调用的这些地址中有什么?
这些是对win32k.sys的系统调用。 想想GetMessage,EndDraw等。