Я использую трассировку событий для Windows (ETW) для трассировки ядра системных вызовов в Windows Server 2008 R2.
Я бегу:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets
В полученных трассировках ядра я смотрю на атрибут SysCallAddress и вижу много того, что ожидал: например, 0xFFFFF80001999EE0, который является nt!NtWriteFile.
Проблема в том, что я вижу много адресов в диапазоне 0xFFFFF960, например 0xFFFFF9600004421C, и я не знаю, что находится по этим адресам. Команда ln в отладчике ядра не возвращает никакой информации ни для одного из этих адресов. Кто-нибудь знает, что живет по этим адресам, которые трассировщик ядра считает системными вызовами?