本文介绍Windows系统内置的Event Tracing for Windows(ETW)架构及其在APT进程检测上的用途。并提出了一种基于ETW技术的APT检测方案,该方案使用ETW作为数据源,记录进程的文件系统操作、网络通信等行为并做进一步分析,从而标记可疑的APT进程。