KiSystemCall64
这里r10为准备调用的函数
PerfInfoLogSysCallEntry
EtwTraceSiloKernelEvent
所以返回值为1和2,目的是将所有的EtwpActiveSystemLoggers调用完
其中为1时
LoggerId为2
EtwpLogKernelEvent
_WMI_LOGGER_CONTEXT(v14)为这个:
关注偏移0x18处GetCpuClock的内容
EtwpReserveTraceBuffer
off_140C01E00[0]的内容:
HalpTimerQueryHostPerformanceCounter
HvlpDetermineEnlightenments
HvlGetEnlightenmentInfo
[nt!HalpEnlightenment+0x28 (fffff806`3c461ec8)]
[nt!HalpEnlightenment+0x180 (fffff806`3c462020)]
HvlGetQpcBias
首先得确定是来自KiSystemCall64的调用:
进行特征匹配
最后向上遍历堆栈找到r10,替换它为对应的过滤函数就行
