Я извлекаю трассировки системных вызовов в Windows с помощью ETW с помощью команды "logman".
Затем я конвертирую файл в текст с помощью tracerpt и конвертирую адреса в символы с помощью windbg. Без проблем.
Моя проблема в том, что я получаю имена символов. Я знаю, что например NTOpenFile называется. Как я могу узнать, какой файл?
В общем, как мне извлечь параметры системного вызова? Помогает ли xperf?