EtwWatcher

EtwWatcher 是一个用于浏览和对比不同 Windows 版本间 ETW（Event Tracing for Windows）提供者状态快照的静态网页应用。其核心功能包括通过名称或GUID过滤提供者、按Manifest或MOF范围筛选、深入查看事件详情以及搜索描述、关键字和模板字段等，并支持两个快照之间的差异比较，展示提供者的增删改情况及每个事件字段级别的变化。此外，用户还可以上传自定义快照并在浏览器中直接解析，无需实际上传任何数据到服务器。该工具特别适用于检测工程师、威胁猎手及Windows内部研究者快速获取并对比ETW提供者与事件信息，尤其是在评估补丁更新对现有检测规则的影响时。基于JavaScript构建，易于使用且开放源代码。