CnBlogs地址：https://www.cnblogs.com/Icys/p/EtwProcess.html

何為Etw？

ETW(Event Tracing for Windows)提供了一種對(duì)用戶層應(yīng)用程序和內(nèi)核層驅(qū)動(dòng)創(chuàng)建的事件對(duì)象的跟蹤記錄機(jī)制。為開發(fā)者提供了一套快速、可靠、通用的一系列事件跟蹤特性。

前言

一直想研究一種監(jiān)控進(jìn)程的方法，但wmi枚舉進(jìn)程的方法，要么反應(yīng)太慢，要么占用高。最近看到有人用易語(yǔ)言完成了Etw對(duì)進(jìn)程變動(dòng)監(jiān)控的實(shí)現(xiàn)。

但是一直沒看到C++的實(shí)現(xiàn)，于是決定將易語(yǔ)言翻譯為C++。

[易語(yǔ)言代碼地址](https://bbs.125.la/thread-14733750-1-1.html)

代碼

直接上翻譯的代碼

注意事項(xiàng)

1. 必須給管理員權(quán)限

2. 請(qǐng)正常退出（按任意鍵），否則Trace不會(huì)自己關(guān)

其他

作者（本人）水平有限，部分翻譯可能有誤，代碼有問題可以直接回復(fù)我。

以后有時(shí)間可能會(huì)考慮翻譯一下這個(gè)作者其他的關(guān)于Etw的例子，畢竟Etw實(shí)現(xiàn)的這些功能都很有意思，并且都比較高級(jí)。