Перейти к содержимому


Фото
- - - - -

Включение режима сбора журналов трассировки у драйверов


  • Закрыто Тема закрыта
1 ответов в теме

#1 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 068 Сообщений:

Отправлено 06 Август 2015 - 14:05

Наши драйвера поддерживают системную трассировку событий, для систем Vista+ Давно хотелось описать как включать. Ибо плюсы и вам и нам.

Чтобы ее активировать нужно проделать следующее:

1. импортировать в реестр:
 
DwProt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger]
"GUID"="{C6333DCF-5F90-4b53-91F1-3CCECF241136}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\dwprottrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger\{C6333DCF-5F90-4b53-91F1-3CCECF241136}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
SpIDer G3:
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger]
"GUID"="{0D54F1B1-CC1E-4f14-8ED5-9B5CAE6D1444}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\spiderg3trace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger\{0D54F1B1-CC1E-4f14-8ED5-9B5CAE6D1444}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
Shield:
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger]
"GUID"="{E035D65E-3294-4588-8AC9-E98464782529}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\shieldtrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger\{E035D65E-3294-4588-8AC9-E98464782529}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
ArkApi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ArkApiLogger]
"GUID"="{DAFE13A7-31CB-4F28-BC84-D2D085FA203F}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\arkapitrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ArkApiLogger\{DAFE13A7-31CB-4F28-BC84-D2D085FA203F}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
при необходимости отредактируйте параметр: FileName на нужный путь. не стоит задавать пути не на системном диске или в глубине.

2. выберите режим сбора который вам скажут:

2.1 для запуска сбора на лету:

Нажмите правой кнопкой мыши по кнопки "Пуск/Start", выбрать пункт "Управление компьютером/Computer Managment", раскройте группу "Производительность/Perfomance", далее "Группы сборщиков данных/Data Collector Sets", далее "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" найдите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", нажмите на нём правой кнопкой мыши, выберите пункт "Запустить как сеанс отслеживания событий/Start As Event Trace Session", автоматически переход будет выполнен в группу "Сеансы отслеживания событий/Event Trace Sessions", состояние "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger" будет "Работает/Running".

2.2 для запуска сбора после перезагрузки. просто перегрузите машину. после перезагрузки будет создан трейс лог.

3. воспроизведите проблему. и скопируйте получившийся трейс лог.

4. Нажмите правой кнопкой мыши по кнопки "Пуск/Start", выбрать пункт "Управление компьютером/Computer Managment", раскройте группу "Производительность/Perfomance", далее "Группы сборщиков данных/Data Collector Sets", далее "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" найдите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", нажмите на нём правой кнопкой мыши, выберите пункт "Удалить/Delete". Если пункт не доступен, перейдите в "Сеансы отслеживания событий/Event Trace Sessions" и остановите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", выбрав пункт "Остановить/Stop" правой кнопкой мыши. Вернитесь назад в "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" и удалите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger".

для надежности можно удалить (если есть) в реестре ключи:
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger

Сообщение было изменено Konstantin Yudin: 17 Сентябрь 2015 - 15:05

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#2 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 726 Сообщений:

Отправлено 15 Август 2015 - 07:00

Готовые .reg файлы для экспорта в реестр, чтобы не вбвивать вручную:

 

Прикрепленный файл  DrWeb_logger.rar   1,18К   14 Скачано раз

 

Расположение трейсов:

"C:\dwprottrace.etl"

"C:\spiderg3trace.etl"

"C:\shieldtrace.etl"


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых