ETW ( Event Tracing for Windows ) C uando creamos, eliminamos o editamos algún archivo(documento en pdf, foto, archivos de audio...) el sistema operativo necesita leer el contenido del disco duro, localizarlo y hacer algún proceso requerido. Si creamos un archivo se produce un evento de tipo escritura o lectura(I/O) que puede contener información por ejemplo, en que partición del disco esta localizada o el sector ubicado. Windows produce mas eventos, cuando se crea un proceso, se lee el registro, fallos de memoria etc. Todos esos eventos se pueden capturar creando un driver que se ejecute en modo kernel y notifique al espacio de usuario que ocurrió algo, este proceso es bastante tedioso ya que se tiene que programar un driver en modo kernel, firmarlo pero windows en el año 2000 introduce una nueva manera de hacer y es event trancing for windows(ETW) . Etw es una forma de trazar eventos del kernel con una mayor eficiencia y facilidad basados en eventos(tiempo real) o en log files.
