SeEtwWriteKMCveEvent 函式 (wdm.h)
SeEtwWriteKMCveEvent 函式是在核心模式驅動程式中偵測到嘗試的安全性弱點惡意探索時,用來發佈事件的追蹤函式。
語法
NTSTATUS SeEtwWriteKMCveEvent(
[in] PCUNICODE_STRING CveId,
[in, optional] PCUNICODE_STRING AdditionalDetails
);
參數
[in] CveId
字串的指標,提及與引發此事件之弱點相關聯的 CVE 標識符。 如需詳細資訊,請參閱 處理新 CVE 識別符語法的技術指引。
[in, optional] AdditionalDetails
字串的指標,提供事件產生者可能想要提供給此事件的取用者的其他詳細數據。
傳回值
SeEtwWriteKMCveEvent 會傳回下列其中一個值:
| 傳回碼 | Description |
|---|---|
| STATUS_SUCCESS | 已成功發佈驅動程式 |
| ERROR_INVALID_PARAMETER | 傳遞 CVE 識別子的指標無效。 事件可能會因為數個原因而遺失;例如,如果事件速率太高,或事件大小大於緩衝區大小,則為 。 在這些情況下, EventsLost 計數器是對應記錄器 之EVENT_TRACE_PROPERTIES 結構的成員,會更新未記錄的事件數目。 |
備註
SeEtwWriteKMCveEvent 函式會發佈 CVE 型事件。 只有在應用程式偵測到嘗試惡意探索已知、已修補弱點的案例中,才應該呼叫此函式。 在理想情況下,此函式呼叫應該新增為修正 (更新) 本身的一部分。 此事件的預設取用者是 EventLog-System。 若要啟用另一個取用者,可以將提供者新增至取用者會話。
提供者 GUID:85a62a0d-7e17-485f-9d4f-749a287193a6
來源名稱:Microsoft-Windows-Audit-CVE 或 CVE-Audit
範例
NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;
…
RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");
status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | Windows 10 和更新版本的 Windows 中提供 |
| 目標平台 | Windows |
| 標頭 | wdm.h |
| 程式庫 | Ntoskrnl.lib |
| Dll | Ntoskrnl.exe |