- 综合排序
- 最热优先
- 最新优先
ETW - 事件消费者(Event Consumer)
官方介绍:Event Tracing for Windows (ETW) - Windows drivers | Microsoft Learn 官方示例:Eventdrv - Code Samples | Microsoft Learn 另一篇文章:ETW - 事件提供者 事件消费者(Event Consumer) 事件消费者(Event Consumer): 事件消费者是一个应用程序,它订阅事件提供者生成的事件 These represent child processes whose --type= # option was too far along in the command line for ETW's
59310编辑于 2024-07-15- 来自专栏FreeBuf
如何使用Sealighter追踪和研究ETW
关于Sealighter Sealighter是针对ETW(Event Tracing)和WPP(Windows PreProcessor Tracing)的安全研究工具,工具的帮助下,在ETW研究人员可以方便追踪和研究 Sealight利用了Krabs ETW库来启用事件过滤功能的丰富功能,对事件ETW和WPP进行分类。 功能介绍 1、支持订阅多个ETW和WPP服务实体; 2、自动将事件解析为JSON格式; 3、编写事件过滤器; 4、支持将数据输出到stdout、文件或Windows事件日志工具; 5、获取事件记录; view=msvc-170 工具配置 Sealighters 的配置文件将允许我们指定需要捕捉和记录的事件以及 ETW 会话,配置文件的数据结构使用 JSON,下面提供的是 JSON 配置示例:
85230编辑于 2023-03-30 ETW - 事件提供者(Event Provider)
ETW - 事件消费者 介绍 Event Tracing for Windows (ETW) - Windows drivers | Microsoft Learn 官方示例:Eventdrv - Code Samples | Microsoft Learn Windows ETW(Event Tracing for Windows 简称ETW)是 Windows 操作系统中的一种高性能、可扩展的事件跟踪框架 事件提供者(Event Provider) 事件提供者(Event Provider): 事件提供者是生成事件并将其发送到 ETW 的可执行模块,例如应用程序、设备驱动程序或内核组件。 注册事件提供者:事件提供者需要在系统中注册,以便 ETW 能够识别它。注册过程通常包括提供一个 GUID(全局唯一标识符)和事件元数据的文件(通常是一个 XML 文件)。 HMODULE pAdvapiDLL = LoadLibraryW(L"Advapi32.dll"); if (pAdvapiDLL) { // 尝试查找 ETW
1.5K10编辑于 2024-07-15- 来自专栏大内老A
如何利用ETW(Event Tracing for Windows)记录日志
一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ETW框架可以视为它们的中介。 ETW Provider会预先注册到ETW框架上,提供者程序在某个时刻触发事件,并将标准化定义的事件提供给ETW框架。 ETW会话的开启和终止是通过 Session的开启和终止是通过ETW控制器(ETW Controller)进行管理的。 除了管理ETW Session之外,ETW Controller还可以禁用(Disable)或者恢复(Enable)注册到某个ETW Session上的ETW Provider。 ? 综上所述,整个ETW模型由ETW框架本身和ETW Provider、ETW Consumer以及ETW Controller组成,上图很好地展示了这四者之间的关系。
1.9K100发布于 2018-01-15 - 来自专栏大内老A
如何利用ETW(Event Tracing for Windows)记录日志
一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ETW框架可以视为它们的中介。 ETW Provider会预先注册到ETW框架上,提供者程序在某个时刻触发事件,并将标准化定义的事件提供给ETW框架。 ETW会话的开启和终止是通过 Session的开启和终止是通过ETW控制器(ETW Controller)进行管理的。 除了管理ETW Session之外,ETW Controller还可以禁用(Disable)或者恢复(Enable)注册到某个ETW Session上的ETW Provider。 ? 综上所述,整个ETW模型由ETW框架本身和ETW Provider、ETW Consumer以及ETW Controller组成,上图很好地展示了这四者之间的关系。
2.3K50发布于 2018-01-15 - 来自专栏大内老A
如何利用ETW(Event Tracing for Windows)记录日志
一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ETW框架可以视为它们的中介。 ETW Provider会预先注册到ETW框架上,提供者程序在某个时刻触发事件,并将标准化定义的事件提供给ETW框架。 ETW会话的开启和终止是通过 Session的开启和终止是通过ETW控制器(ETW Controller)进行管理的。 除了管理ETW Session之外,ETW Controller还可以禁用(Disable)或者恢复(Enable)注册到某个ETW Session上的ETW Provider。 ? 综上所述,整个ETW模型由ETW框架本身和ETW Provider、ETW Consumer以及ETW Controller组成,上图很好地展示了这四者之间的关系。
2.2K60发布于 2018-01-15 - 来自专栏FreeBuf
Winshark:一款用于控制ETW的Wireshark插件
Winshark Winshark是一款用于控制ETW的Wireshark插件,ETW(Event Tracing for Windows)提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制 Winshark基于libpcap作为后端来捕捉ETW(Event Tracing for Windows),并且提供了一个生成器来在设备上为已知ETW生成所有的解析器。 现在,你需要让Wireshark将DLT_USER 147解释为ETW,这是因为我们在使用之前还没有从libpcap获取到真实的值,之后我们才能发送一个pull请求来获取到专门的DLT值。 在这里,我们需要打开Edit控制面板中的Preferences标签页,选择Protocols设置下的DLT_USER,然后点击Edit并填写完对话框中的信息: 接下来,将etw值设置为DLT = 147 命名管道捕捉 首先,使用管理员权限打开一个cmd.exe命令行窗口,然后使用下列命令开启驱动器: sc start NpEtw 接下来,创建一个ETW会话: logman start namedpipe
1.8K30编辑于 2023-04-26 - 来自专栏张善友的专栏
使用 ETW 对 .NET 应用程序进行性能诊断
幸运的是,Windows 事件跟踪 (ETW) 可以缓解这些问题。 ETW 收集系统范围的数据并分析所有资源(CPU、磁盘、网络和内存),使其对获取整体视图很有用。此外,可对 ETW 生态系统进行调整以减少其开销,使该系统适用于生产诊断。 本文旨在使您了解使用 ETW 分析托管应用程序的好处。我不会介绍所有内容 - 有几个可用于诊断的 OS 事件和 CLR ETW 事件在本文中不会提到。 Method ETW Events 捕获有关用于符号解析的 CLR 方法的信息。 GC ETW Events 捕获有关 GC 的信息。 PerfMonitor 合并命令会将 ETW 文件转换为 XPerf 的可读格式。 总结 使用 ETW 进行性能调查不仅简单而且很有效。
1.9K60发布于 2018-01-19 - 来自专栏FreeBuf
RPCMon:一款基于ETW的RPC监控工具
关于RPCMon RPCMon是一款基于事件跟踪的WindowsRPC监控工具,该工具是一款GUI工具,可以帮助广大研究人员通过ETW(Event Tracing for Windows)扫描RPC
80420编辑于 2023-03-30 - 来自专栏FreeBuf
etl-parser:基于纯Python开发的事件追踪日志文件解析工具
该工具基于纯Python 3 ETL Windows日志文件解析库实现其功能,而ETL则是ETW以及内核日志工具的默认格式。 很多新型的API都基于ETW实现,比如说Tracelogging或WPP等,而这些API都是微软开发者会经常使用的。 etl-parser可以通过引入下列日志格式解析器来帮助广大研究人员解决各种问题: ETW manifest base provider TraceLogging MOF for kernel log event: Trace): """unknown""" def on_event_record(self, event: Event): """ETW 项目地址 https://github.com/airbus-cert/etl-parser 参考资料 https://docs.microsoft.com/en-us/windows/win32/etw
1.7K20编辑于 2022-02-23 - 来自专栏BestSDK
Windows 10 SDK预览版17704发布 :可将应用打包成MSIX格式
MC.EXE 我们对mc.exe(Message Compiler)的C / C ++ ETW代码生成做了一些重要的更改: 不推荐使用“-mof”参数。 此参数指示MC.exe生成与Windows XP及更早版本兼容的ETW代码。在将来的mc.exe版本中将删除对“-mof”参数的支持。 header将使用ETW_KM宏自动确定是为内核模式还是用户模式编译,并为每种模式调用相应的ETW API。
69130发布于 2018-07-30 - 来自专栏网络安全攻防
Scheduled-Task-Tampering
到内存中,如果攻击者重新启动调度程序服务以将修改后的任务加载到内存中,则安全事件日志或“Microsoft-Windows-TaskScheduler/Operational”日志中不会生成任何事件 ETW 篡改 ETW篡改是一种攻击者滥用ETW架构中的缺陷以防止特定进程或整个系统生成ETW遥测的技术,这通过MDSec的研究隐藏您的 .NET - ETW和Palantir的篡改Windows事件跟踪而得到普及 服务生成的,但事件信息是由Scheduler服务使用ETW发送的,这意味着如果攻击者能够篡改调度程序服务上的 ETW,则不会生成日志 CCob最近对无补丁AMSI绕过的研究表明,可以结合硬件断点和向量异常处理程序 我们不会详细介绍该技术的工作原理,因为上面的博客文章在解释所需概念方面做得很好 从博客作者发布的初始PoC开始,将其适应ETW篡改非常容易,唯一的主要修改是提供的PoC中的VEH和断点仅应用于当前线程, 在ETW篡改方面,这些建议并非针对调度程序滥用,而应主要集中在: 检测针对系统进程的内存注入-为了部署ETW补丁,攻击者可能会将代码注入目标进程,检测进程注入是一个超出本研究范围的主题,因此我们不会在这方面花费太多时间
1.3K10编辑于 2022-06-23 - 来自专栏腾讯移动品质中心TMQ的专栏
QQ浏览器性能提升之路——windows性能分析工具篇
wpr.exe — 记录ETW产生的数据,命令行模式。 WPRUI.exe — 记录ETW产生的数据,图形化界面,更友好。 ETW是从Windows 2000开始就引入的一种高速的事件记录机制,自那时以后,各种Windows操作系统核心和服务组件都通过ETW记录其活动,它现在是Windows平台上的关键系统仪表技术之一。 在Windows 7中,ETW得到了进一步的增强。 正是基于ETW的优秀性能和强大功能,越来越多的第三方应用程序开始放弃自己的日志系统,逐渐开始使用ETW来追踪和记录其状态和活动,从而进行性能调优或是进行应用程序的日常维护。 Session:它存在于内核中,用于表示一个ETW事件记录会话。
5.7K51发布于 2018-02-05 - 来自专栏Windows技术交流
Windows Update 无法连接到更新服务(0x80072EE2)
文件内容显示如下,都是以1601/01/01 08:00:00.0000000开头的条目,没有正确解析日志内容 图片.png 打包C:\Windows\logs\WindowsUpdate\目录下的ETW 将ETW日志文件放到某个路径下面,我这里是C:\txt\WindowsUpdate\,然后运行命令:Get-WindowsUpdateLog -ETLPath C:\txt\WindowsUpdate\ 图片.png 注意: 这里能正常解析ETW日志,是因为系统默认会调用我本地%temp%\WindowsUpdateLog\SymCache下的WindowsUpdate符号文件,如果我这里没有相应的符号文件 start wuauserv wuauclt.exe /resetauthorization /detectnow wuauclt.exe /r /reportnow 这里牵扯到2个知识点: 第1:ETW
3.9K60编辑于 2021-12-10 - 来自专栏张善友的专栏
WCF的追踪分析工具——SvcPerf
Microsoft最近发布了SvcPerf,它是一个端到端的基于Windows事件追踪(ETW)的追踪查看器,可用于基于清单的追踪。 这个端到端的追踪分析工具基于Linq over Traces(TX),可以用于WCF、WF以及其他基于活动的ETW跟踪。你能够通过这个工具查看ETL文件或者实时跟踪会话,还能创建自定义的查询。 “.NET Framework能够提供更好的ETW支持真的非常好。事件源是一个不错的开始,但是因为缺乏通道支持事件查看器不能获得好的可见性,” Colin Bowern说。 查看英文原文:SvcPerf - Trace Analysis Tool for WCF Released Sample ETW trace for WCF 针对 Windows 的 WCF 服务和事件跟踪
1.2K60发布于 2018-01-19 - 来自专栏centosDai
EventPipe
EventPipe 是类似于 ETW 或 LTTng 的运行时组件,可用于收集跟踪数据。 EventPipe 的目标是使 .NET 开发人员能够轻松地跟踪其 .NET 应用程序,而无需依赖于平台特定的 OS 本机组件(如 ETW 或 LTTng)。 EventPipe 与ETW/LTTng EventPipe 是 .NET 运行时 (CoreCLR) 的一部分,旨在跨 .NET Core 支持的所有平台以相同的方式工作。 EventPipe 和 ETW/LTTng 之间的另一个主要区别是管理员/根用户权限要求。 若要使用 ETW 或 LTTng 跟踪应用程序,你需要是管理员/根用户。 下表汇总了 EventPipe 和 ETW/LTTng 之间的差异。
4300编辑于 2022-01-07 - 来自专栏Khan安全团队
Shellcode 技术
禁用 Windows 事件跟踪 (ETW) 许多 EDR 解决方案广泛利用 Windows 事件跟踪 (ETW),特别是 Microsoft Defender for Endpoint(以前称为 Microsoft ETW 允许对进程的功能和 WINAPI 调用进行广泛的检测和跟踪。 ETW 在内核中有组件,主要是为系统调用和其他内核操作注册回调,但也包含一个用户态组件,它是ntdll.dll(ETW 深度潜水和攻击向量)的一部分。 用户空间中的ETW有很多不同的绕过方式,但最常见的是修补函数 EtwEventWrite调用它来写入/记录 ETW 事件。 和 AMSI(不是真正必要的,因为我们已经禁用 ETW 并且没有将加载程序注入另一个进程)。
2K20编辑于 2022-05-17 - 来自专栏张善友的专栏
性能分析工具-PerfView
PerfView能够收集Windows事件跟踪(ETW)数据来追踪程序的调用流向,这些程序通过调用哪个函数识别频率。 收集配置数据 PerfView利用Windows事件追踪,而ETW从Windows 2000 Server以来就一直内置于操作系统中。 只是最近才有XPerf和PerfView一类的工具利用ETW数据来解决性能问题。事件数据被收集到一个事件跟踪日志(ETL)中。根据你想要跟踪事件的数量和时间的长度,ETL文件可能会非常大。 PerfView是一个便于用户的工具,可以用来收集和分析ETW数据用于解决配置程序性能数据的问题。这个工具可以快速地显示为这个程序执行的操作系统函数,了解性能问题可能潜藏的位置。
2.3K70发布于 2018-01-19 - 来自专栏汪宇杰博客
.NET Core 2.2 正式发布
在 Windows 系统上,这通常使用 ETW 和监视当前进程的 ETW 事件来完成。虽然这可以继续很好地工作,但使用 ETW 并不总是方便的,也不总是可用的。 比如您是在低全新环境中运行, 或者是在 Linux 或 MacOS上运行,都可能无法使用 ETW。 从.NET Core 2.2开始,现在可以用EventListener来使用CoreCLR 事件。 它们作为 Windows 上 CoreCLR ETW提供程序的一部分公开的事件。这允许应用程序使用这些事件或使用传输机制将它们发送到遥测聚合服务。
1.4K30发布于 2019-07-10 - 来自专栏FreeBuf
如何使用LightsOut生成经过混淆处理的DLL
该工具专为红队研究人员设计,生成的DLL可以在研究人员尝试绕过反病毒产品时禁用AMSI和ETW,从而更好地测试目标系统的安全性。 该工具可以随机化DLL中所有的WinAPI函数使用、XOR编码字符串和基础的沙箱检测,并使用了Mingw-w64将经过混淆处理的C代码编译为DLL文件,然后再加载到任何有AMSI或ETW的进程中,例如PowerShell LightsOut python3 lightsout.py 工具运行 _______________________ | | | AMSI + ETW value>] [-k <key>] [-o <outfile>] [-p <pid>] Generate an obfuscated DLL that will disable AMSI & ETW
65810编辑于 2024-01-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号