Windows Kernel Trace Provider 监视的系统事件Process,thread,image等内核事件件。
监测这些内核事件的类以及属性都可以通过wbemtest.exe/WMI CIM Studio 来查看。
这些类都是通过系统MOF定义的。在root/wmi命名空间下,继承于MSNT_SystemTrace类
