問題描述

什么工具可以記錄某一程序/驅動從啟動到完全關閉過程中對系統的日志，包括但不限于hook、注入、網絡通信等等windows內置事件日志好像記錄不到這塊.找了幾個工具好像都只能記錄到系統開始關閉，記錄不到從csrss收到關機消息到系統完全關閉的過程。

PS.背景是拿到一個很有意思的程序，主要行為集中在windows從開始關閉系統到完全斷電過程中。反編譯的話難度和工程量都太大。

問題解答

參見幫助

打開【控制面板】-【系統和安全】-【管理工具】-【事件查看器】