C++实现ETW进行进程变动监控

CnBlogs地址：https://www.cnblogs.com/Icys/p/EtwProcess.html

何为Etw？

ETW(Event Tracing for Windows)提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制。为开发者提供了一套快速、可靠、通用的一系列事件跟踪特性。

前言

一直想研究一种监控进程的方法，但wmi枚举进程的方法，要么反应太慢，要么占用高。最近看到有人用易语言完成了Etw对进程变动监控的实现。

但是一直没看到C++的实现，于是决定将易语言翻译为C++。

[易语言代码地址](https://bbs.125.la/thread-14733750-1-1.html)

代码

直接上翻译的代码

注意事项

1. 必须给管理员权限

2. 请正常退出（按任意键），否则Trace不会自己关

其他

作者（本人）水平有限，部分翻译可能有误，代码有问题可以直接回复我。

以后有时间可能会考虑翻译一下这个作者其他的关于Etw的例子，毕竟Etw实现的这些功能都很有意思，并且都比较高级。