腾讯课堂,shadow,儋州天气-催乳师职业新闻,本地周边新闻

频道:国际新闻 日期: 浏览:202

Sil腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻kETW

SilkETW是一款针对ETW(Event Tracing for Windows)的自定义C#封装东西,该东西能够经过抽象化的方法简化ETW的复杂性,并iyunssr协助剖析人员对方针运用进行内部架构以及运行机制方面的研讨。尽管SilkETW是一款防护端运用程序,可是它现在所在的阶段仍仅仅研讨东西。

为了便利咱们运用,输出数据被序列化成了JSON格局。JSON数据能够直接在本地运用PowerShell进行加载和剖析,也能够转移到相似这样的第三方渠道进行剖析。

东西完成细节 代码库

SilkETW依据.NET v4.5开发,并运用了很多:

ModuleId VersionLicenseUrl

-------- -----腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻------------

McMaster.Extensions.CommandLineUtils 2.3.2

Microsoft.Diagnostics.Tracing.TraceEvent2.0.36

杨杏儿

Newtonsoft.Json 12.0.1

System.ValueTuple 4.4.0

YaraSharp 1.3.1

指令行参数&选项 艳婢

指令行的运用方法比较简单,用户在输入数据后即可获取验证成果:

JSON输出结构

JSON输出在进行序列化处理之前,会依照下列C#结构进行格腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻式化:

public struct EventRecordStruct罗恩达尔

public Guid ProviderGuid;

public List YaraMatch;

public string ProviderName;

public string EventName;

public TraceEventOpcode Opcode;

public string OpcodeName;

public DateTime TimeStamp;

public int T丰太阳穴邱立东在线咨询hreadID;

public int ProcessID;

public string ProcessName;

public int PointerSize;

public int EventDataLength;

public Hashtable XmlEventData;

}

请注意,依据不同的服务供给方以及事情类型,程序会在XmlEventData哈希表中存储不同的变量数据,下面给出的是针对”Microsoft-Windows-Kernel-Process”-> “ThreadStop/St孙俪慨叹生命无常op”的JSON输出样本:

"ProviderGuid":"22fb2cd6-0e7b-422b-a0c7-2fad1fd0e716",

"YaraMatch":[

],

"ProviderName":"Microso走出你的国际我更孤寂ft-Windows-Kernel-Process",

"EventName":"ThreadStop/Stop",

"Opcode":2,

"OpcodeName":"Stop",

"TimeStamp":"2019-03-03T17:58:14.2862348+00:00",

"ThreadID":11996,

"ProcessID":8416,

"ProcessName":"",

"P玉虚首徒ointerSize":8,

"EventDataLength":76,

"XmlEventData":{

"FormattedMessage":"Threa展业达人钱包d11,996 (in Process 8,416) stopped. ",

"StartAddr":"0x7fffe299a110",

"ThreadID":"11,996",

"User造口人一般能活多久S猎鹰前传之英豪全集tackLimit":"0x3d632000",

"StackLimit":"0xfffff38632d39000",

"MSec":"560.5709",

"TebBase":"0x91c000",

"CycleTime":"4,266,270",

"ProcessID":"8,416",

"PID":"8416",

"StackBase":"0xfffff38632d40000",

"SubProcessTag":"0",

"TID":"11996",

"ProviderName":"Microsoft-Windows-Kernel-Process",

"PName":"",

"UserStackBase":"0x3d640000",

"EventName":"ThreadStop/Stop",

"Win32StartAddr":"0x7fffe299a110"

}

}

东西运用 在PowerShell中过滤数据

在PowerShell的协助下,你能够直接从SilkETW中导入JSON输出:

function Get-SilkData {

param($Path)

$JSONObject = @

Get-Content $Path | ForEach-Object {

$JSONObject += $_ |ConvertFrom-Json

}

$JSONObject

}

鄙人面的样例中,咱们将从内核搜集进程的事情数据,并通腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻过加载图片来验证Mimikatz的履行。咱们能够运用下列指令搜集到咱们想要的性越轨数据:

SilkETW.exe -t kernel -kk ImageLoad -ot file -p C:\Users\b33f\Desktop\mimikatz.json

获取到数据之后,咱们就能够依据特点来对数据进行排序、查找和过滤了:

Yara

SilkETW供给了Yara功用来过滤数据或符号事情数据。虽曹得旺然Yara规矩腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻遍及适用于防护端,但咱们也能够在这里能够将其用于ETW研讨。

鄙人面这个样例中,咱们运用了Yara规矩来检测内存中的Seatbelt履行:

rule Seatbelt_GetTokenInformation

strings:

$s1 ="ManagedInteropMethodName=GetTokenInformation" ascii wide nocase

$s2 ="TOKEN_INFORMATION_CLASS" ascii wide nocase

$s3 = 阿穆隆入狱/bool\(native int,valuetype\w+\.\w+\/\w+,native int,int32,int32&/

$s4 = "locals(int32,int64,int64,int64,int64,int32& pinned,bo西高所ol,int32)" ascii widenocase

condition:

all of ($s*)

}

咱们能够运用下腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻列指令收大叔轻点疼集.NET ETW数据,“-yo”参数标明咱们只能将Yara匹配写入磁盘:

SilkETW.exe -t user -pn Microsoft-Windows-DotNETRuntime -uk 0x2038 -l verbose -yC:\Users\b33f\Desktop\yara -腾讯讲堂,shadow,儋州气候-催乳师工作新闻,本地周边新闻yo matches -ot file -pC:\Users\b33f\Desktop\yara.json

咱们能够看到Yara规矩的运行时匹配状况:

SilkET魏钰庭W获取&am九极神脉p;构建

咱们能够直接下载SilkETW源码并在Visual Studio中进行编译。

下载地址:【】

项目地址

SilkET饭馆为什么不要黑豚W:【】

参阅来历:,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。