Я исследовал ETW для мониторинга процессов/файлов/реестра/сети. Похоже на Win7 в ней есть все что мне нужно. Однако в XP ему, похоже, не хватает такого же уровня детализации. В частности, при файловом вводе-выводе регистрируются только события «FileCreate», а события создания процесса не указывают полный путь.
Можно ли определить, когда файл записывается в XP с помощью ETW? А как насчет полного пути к событию запуска процесса?
