ETW架构以及WPT(Windows Performance Toolkit)命令行的使用

最新推荐文章于 2026-02-10 14:08:37 发布
原创 最新推荐文章于 2026-02-10 14:08:37 发布 · 4.4k 阅读 · 15 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文深入解析ETW(EventtraceforWindows)机制,介绍其架构、概念及如何通过命令行使用WPR进行事件追踪,适用于Windows操作系统下的应用和内核事件记录。

ETW

  • ETW(Event trace for Windows)是微软提供的追踪和记录由应用程序和内核驱动事件的机制。ETW已经由Windows操作系统实现了,所以我们无需对其编程。并且在此基础上提供给了开发者一些快速、可靠、通用的事件追踪特性。
ETW架构图(取自MSDN)

ETW架构图(取自MSDN)

  • 下面解释一些ETW架构中使用到的概念
    • Providers(事件提供者):具体是指提供事件的一些对象,最终抓取到的事件都是来源于它们的
    • Consumers(事件收集者):有时也称Collector,具体是指收集事件的一些对象,这个一般在WPR或者是Xperf中已经编写好了,我们不需要担心这一部分。
    • Session(事件追踪会话):可以理解成追踪事件的一次过程,此时追踪事件的所有数据都还在内存当中,到最后结束追踪的时候
    • Controllers(事件追踪控制者):开启或关闭事件追踪会话

Kernel Provider ···· User Provider

  • 从字面的含义去解释它就是内核级(Kernel)用户级(User)的事件提供者,或者更简单一点,系统已经定义好的Provider就称为System ProviderKernel Provider。而由开发者自定义的Provider就称为User Provider

System Provider ···· Kernel Session ···· Kernel Event

  • System Provider:真名是Windows Kernel Trace,顾名思义,是一个内核级别的事件提供者,因此我们可以说只要你在使用Windows操作系统你就可以追踪到它提供的事件。并且System Provider提供的事件只能被Kernel Session追踪
  • Kernel Session:我们之前提到过Session的概念,不难理解Kernel Session也是一次事件追踪的过程,只不过Kernel Session这次过程追踪的事件都是由System Provider提供的。
  • Kernel Event:是由System Provider产生的内核事件,交给Kernel Session追踪

我们可以通过如下步骤
1)找到命令提示符以管理员身份打开
以管理员身份打开命令提示符

2)使用logman命令查看System Provider的情况

logman query providers "Windows Kernel Trace"

logman命令

  • 注:这里的keyword字段可能会令大家迷惑。这里可以大概模拟一个情形,由于Provider提供了许多类型的事件,所以如果我们对其中所有的事件都进行追踪将会使得最后的.etl文件非常大,从而浪费磁盘空间。所以keyword的实际上相当于一种过滤机制,让开发者可以只追踪一小部分的事件。

3)使用logman命令查看session的情况

logman -ets

logman命令查看session

命令行方式使用WPR

在我的《如何使用WPRWPA记录系统状态》博文中已经提到了如何用UI(User interface)的方式开启记录和关闭记录。这里不做赘述。下面介绍通过命令行方式使用WPR的方法。

1)首先我们可以通过如下命令查看wpr提供的内置监控配置文件(built-in profile)

wpr -profiles

wpr -profiles

  • 注:该命令必须在(以管理员身份打开的cmd.exe中)执行,否则会拒绝访问

2)profile配置文件定义了开启哪些Provider,我们可以通过如下命令查看CPU profile开启了哪些Provider

wpr -profiledetails CPU

wpr -profiledetails CPU

3)通过上述的两个命令,我们可以选取一个内建的profile来开启记录,比如选取CPU profile,命令如下

wpr -start CPU

4)等待几秒,执行wpr -stop xxx.etl命令保存日志文件

wpr -stop test.etl
  • 注:test.etl文件会生成在你cmd.exe的工作路径下,如下图

etl文件生成路径
etl文件生成

用WPR(Windows Performance Recorder)抓取UI delay并进行分析的示范
OrangeCat
07-30 4096
简介 关于以下几篇文章中已经提到了如何使用WPT工具包和相关配置的解释 《利用WPTWindows Performance Toolkit)进行程序的性能分析》 《ETW架构以及WPTWindows Performance Toolkit命令行使用》 《利用WPA进行调用栈追踪(call stack trace)分析》 现在我们就来尝试抓取一个UI dela...
QQ浏览器性能提升之路-windows性能分析工具篇
TMQ1225的博客
07-14 7728
如果你要在Windows上面做性能相关的工作,那WPT一定是个必备的神器。WPT的全名是Windows Performance Toolkit,是Windows下用来进行性能分析的一套工具,它的功能非常强大,你可以使用它来监控CPU,内存,磁盘和网络等等的活动,从而来确定当前系统的性能瓶颈。
ETW的攻与防
hongduilanjun的博客
09-14 3610
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
ETW windows事件跟踪知识学习的愚见
热门推荐
qq_31314583的博客
07-11 5万+
etw模型网上有就不说了,这里主要是几个概念的区分fill:#333;color:#333;color:#333;fill:none;Vista之前Vista之前Vista 引入的新事件模型,统一ETW和Event Logging的APIWIn10基于ETW 的TraceLogging 引入的简化的检测代码的方法Windows事件事件日志记录 Event LoggingWindows 事件跟踪 ETWWindows事件日志 windows-event-log。
Logman命令详解
分享资源 互相学习 共同进步
10-20 3451
转自:http://blog.sina.com.cn/s/blog_13ad23d530102vqum.html 在本地和远程系统上,管理和调度性能计数器和事件跟踪日志。 语法动词 Logman [create {counter | trace} collection_name ] [start collection_name] [stop collection_name] [delete collection_name] [query {collection_name|providers}] [up
Windows如何启动和停止etw事件监听
ccf19881030的专栏
04-30 1614
Windows Etw监听启动和停止
Windows开发】Windows 事件跟踪 (ETW)
阿東啊、
06-04 3349
Windows 事件跟踪(ETW)是一项内置功能,最初旨在提供详细的用户和内核日志记录。如今 ETW 被开发者、安全研究者、EDR 厂商广泛使用,常见的免杀工具都实现了ETW绕过模块,例如 Havoc 具有ETW patch功能、Ladon实现了etw unhook、Github能搜到诸多相关代码。本文整理ETW的基本概念,基于 TraceLoggingAPI 实现,给出了ETW绕多的简单实现并完成了相关实验。
Windows 性能分析器WPT深度解析
最新发布
zhangyihu321的专栏
02-10 1216
Windows Performance ToolkitWPT)是微软官方提供的性能分析工具集,隶属于Windows Assessment and Deployment Kit(ADK)。作为系统级性能诊断工具,WPT能够记录系统运行时的详细性能数据,并通过可视化界面进行深入分析,是Windows系统优化的重要工具。开发者可以在自己的应用程序中嵌入自定义事件,使用Trace Logging API向ETW系统发送事件。这样可以在性能分析中看到应用内部的重要事件点。
如何使用WindowsPerformanceToolKit对程序进行分析
qq_25231249的博客
04-19 1万+
概述 Windows 性能工具包包含各种性能监控工具,这些工具可生成有关 Windows 操作系统和应用程序的详细性能概况。 其核心为两个独立工具:Windows Performance Recorder (WPR)Windows Performance Analyzer (WPA)。 简单理解WPR 就是一个“抓包”工具,用来抓取系统的事件信息。 而WPA就是将抓取的信息以图表的形式展示出来便于我们详细分析的工具。WPA分析WPR生成的.ETL文件(Event Trace Log)。 操作系统要求:
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 5327
Windows提供了统一的跟踪和记录事件的机制,称为ETW(Event Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件。ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
Windows ETW 入门 【Windows系统编程】
CaTianRi的博客
12-29 2604
ETW,全称 Event Trace For Windows,是微软在Windows中提供的一种高效事件记录机制。简单来讲,可以把它看成一个大型日志系统,能够从程序、内核、驱动收集各种运行信息。ETW的特性:轻量化:ETW在运行时对系统性能的影响微乎其微,因此可以安全地用于生产环境。实时性:你可以实时捕获和分析事件,而不需要重启系统或应用。灵活性:支持自定义事件,开发者可以根据需要定义自己的事件并收集数据。ETW的主要用途:ETW可以捕获系统和应用程序的性能指标,从而做到优化程序的运行效率。
ETW绕过PoC测试1--关闭你的ProcMon.exe
jentle8的博客
08-24 833
ETW 绕过系列1
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 9737
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各
【亲测免费】 探索Windows事件追踪:ETW库的全面解析与应用
gitblog_00053的博客
05-25 1050
探索Windows事件追踪:ETW库的全面解析与应用 1、项目介绍 在Windows操作系统中,Event Tracing for WindowsETW)是一个强大的日志记录工具,它允许开发者记录事件并存储到文件或缓冲区中。这个系统级的服务提供了一个灵活的架构,包括提供者、控制器和消费者三个部分。现在,有一个完全用Python实现的ctypes包装器库,它让你能够方便地控制ETW会话,并处理接收...
ETW 技术全解析
网络安全相关文章分享
01-08 1247
ETW(Event Tracing for Windows)是Windows内置的高效事件跟踪系统,由提供者、控制器、会话和使用者四大组件构成。它支持动态监控系统事件,无需重启即可收集内核和应用级数据。通过Logman工具可快速演示进程创建监控:启动内核会话捕获进程事件,使用WPA分析日志。ETW架构清晰,提供者生成事件,控制器管理会话,使用者处理数据,适用于诊断调试、性能分析等场景,是Windows平台强大的诊断基础设施。
Windows Performance ToolkitWPT)分析Vista系统
weixin_33708432的博客
03-17 654
本文独家授权IT专家网,版权所有请勿转载! 原文链接:[url]http://winsystem.ctocio.com.cn/vista/102/8712602.shtml[/url] Microsoft Windows Performance Toolkit(简称WPT)是微软用来对Windows进行性能检测的工具,适合于Windows Vista...
Windows 事件追踪101
Frendguo的博客
03-07 2141
Windows® 事件追踪(ETW)是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制,能够跟踪用户级应用和内核级设备驱动程序产生的事件。ETW 具有以下特征:开发人员可以根据预期用途选择合适的实现集(例如,很容易添加像 WPP 实现这样的 Printf,以用于调试目的的事件)。基础结构管理常用信息,如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 3095
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
WPA和WPR性能工具使用
ccf19881030的专栏
02-01 5685
微软官方提供了Windows下的WPR(Windows Performance Recorder)和WPA(Windows Performance Analyzer)这两个工具用来对计算机中的进程CPU使用率、内存占用、磁盘IO等进行性能分析,看当前系统的进程和线程运行情况,对于定于内存高占用、卡顿等性能问题分析很有帮助。
Windows ETW:深入理解和实践
weixin_33773084的博客
05-07 1313
本文将深入探讨Windows ETW(Event Tracing for Windows)工具和技术的使用。首先,我们会了解如何使用性能监视器和Logman工具枚举ETW会话,然后将深入探讨ETW提供者(providers)的概念,包括它们的注册和启用方式。接着,我们将通过实验演示如何枚举ETW提供者和使用ETW监控系统进程活动。最后,我们将学习ETW日志记录器线程的作用以及如何消费和解码ETL文件中的事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值