探索创新:Windows 11兼容版ETW Hook技术揭秘与应用

于 2024-06-13 09:31:44 发布
阅读量465 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00069/article/details/139642560
版权

探索创新:Windows 11兼容版ETW Hook技术揭秘与应用

1、项目介绍

ETW HOOK是一种独特的系统级调试技巧,利用Windows操作系统中ETW(Event Tracing for Windows)功能的漏洞,来实现对系统调用的无痕拦截和控制。这一项目旨在提供一种能够兼容最新Windows 11系统的高效且稳定的ETW Hook实现,使得开发者能够在不影响系统性能的同时,深入洞察系统底层行为,实现高级调试和安全防护。

2、项目技术分析

该项目基于最新的Windows内核特性,巧妙地利用了HalPrivateDispatchTable中的HalCollectPmcCounters函数,通过对数据段的动态修改,实现了在系统调用ETW时的透明介入。项目采用了复杂的栈定位策略,通过追踪EtwpTraceSiloKernelEvent中的EtwpLogKernelEvent函数,找到了在不触发电路保护(PG: Patch Guard)的情况下替换系统调用的途径。此外,它还涉及到了NtSetSystemInformation的逆向工程,用于设置必要的PMC Counter信息,确保ETW Hook的成功执行。

3、项目及技术应用场景

  • 安全研究:ETW Hook可帮助安全研究人员检测恶意软件的行为,无痕迹跟踪系统活动。
  • 系统优化:开发者可以借此技术深入分析系统瓶颈,优化性能。
  • 软件调试:在开发过程中,能够实时监控内部系统调用,便于快速定位问题。
  • 游戏防作弊:游戏行业中,可用于防止玩家篡改游戏进程,确保公平性。

4、项目特点

  • 兼容性广:尤其针对Windows 11,保持了良好的兼容性。
  • 低侵入性:不会触发Patch Guard,减少了潜在冲突。
  • 灵活性高:可以自由选择要拦截的系统调用,满足多样化需求。
  • 详细文档:项目提供了详细的源码注释和逆向工程过程说明,利于学习和扩展。

总的来说,这个开源项目为技术爱好者和专业人士提供了一种强大且新颖的工具,用来探索和理解Windows操作系统的深层机制。如果你对此类技术有热情或需要相关功能,不妨一试。立即加入,开启你的Windows ETW Hook之旅吧!

平奇群Derek
关注
memset 线程安全_恶意.NET安全攻防(一):使用ETW隐藏你的.NET
weixin_35748962的博客
12-19 270
前言随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其中的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库中的一部分,负责为其提供“动力”的框架,通常会是Cobalt S...
『网络安全科普』Windows安全之HOOK技术机制
Galaxy_0的博客
12-29 3416
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
wtrace:Windows的命令行跟踪工具,基于ETW
04-01
跟踪 该项目的主页位于 。 Wtrace [spelled: wɪtreɪs ]是一个命令行工具,用于记录来自操作系统或一组进程的跟踪事件。 Wtrace可以收集文件I / O和注册表操作, TPC / IP连接和RPC调用等内容。 它的目的是使您对系统中正在发生的事情有一些了解。 此外,它具有各种筛选功能,并且还可能在跟踪会话结束时转储统计信息。 由于它只是一个标准的命令行工具,因此您可以将其输出通过管道传输到另一个工具以进行进一步处理。 它可以在Windows 8.1+上运行,并且需要.NET 4.7.2+。 Wtrace只是一个可执行文件wtrace.exe,您可以从下载它。 可用的选项在下面列出。 请检查以了解有关它们的详细信息和一些用法示例。 Usage: wtrace [OPTIONS] [pid|imagename args] Options: -f, --f
ETW HOOK原理探析
qq_41252520的博客
11-11 1165
关于ETW是什么我就不多说了,可以通过微软的相关文档了解到。据网上得知这项技术最早被披露于2345的驱动中,一位工程师将其代码逆向还原之后大白于天下。随后各大安全厂商相继使用这种技术实现监控系统调用、内存页错误等。它是一个相对于VT来说更稳定,更简单的系统监控方式。调用ZwTraceControlZwTraceControl启用ETW日志(Win8只有NtTraceControlNtTraceControl。
隐藏的宝藏:ETW的入侵检测(第1部分)
weixin_34269583的博客
09-19 404
本文讲的是隐藏的宝藏:ETW的入侵检测(第1部分),现如今防御者所面临的信息不对称问题已经越来越凸显,特别是随着内存中的攻击和有针对性的恶意软件的出现,防御者已经不能仅仅依靠Windows默认提供的事件日志来进行防御了,因为攻击者可能会使用进程空当来将其代码隐藏在一个看似良性的进程中,并切Command&Control流量通过DNS路由保持隐藏。 在通...
ETW的攻与防
hongduilanjun的博客
09-14 2956
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
Winshark:Wireshark插件来测试ETW
03-20
Wireshark插件可与Windows事件跟踪一起使用 Microsoft Message Analyzer即将退休,其下载包已于2019年11月25日从microsoft.com网站上删除。Wireshark已建立了庞大的网络协议解剖器库。 Windows的最佳工具是可以收集...
EtwTools:用于Windows事件跟踪(ETW)的API
03-29
Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种高效、低开销的系统级日志记录机制,广泛应用于诊断、性能分析和监控。EtwTools是一个专门针对ETW的API,它允许开发者以编程方式与ETW交互,创建、管理...
etwprof:基于ETWWindows上本机应用程序的采样探查器
05-26
etwprof是一个轻量级,自包含的采样探查器,适用于Windows上的本机应用程序。 它基于(ETW)框架。 该探查器具有以下设计目标: 没有任何可安装的依赖项 轻的 处理器架构和模型无关 它必须可行才能用作技术支持...
Windows10EtwEvents:来自Windows 10本中所有基于清单和基于Mof的ETW提供程序的事件
03-21
Windows 10 ETW事件 来自Windows 10本中所有基于清单和基于Mof的ETW提供程序的事件 本 大事记 清单提供者 MOF提供者 未知的提供者 1511 43,319 811 195 24 1607 45,569 830 193 23 1703 46,532 842 ...
php编译好的evalhook文件~
01-04
CTF/php后门分析中经常遇到加密压缩过的PHP文件, <? $O00OO0=urldecode("n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("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")); ?> 编译环境 ===================================================================== PHP : /usr/bin/php7.2 PHP_SAPI : cli PHP_VERSION : 7.2.9-1 ZEND_VERSION: 3.2.0 PHP_OS : Linux - Linux kali 4.14.0-kali3-amd64 #1 SMP Debian 4.14.17-1kali1 (2018-02-16) x86_64 INI actual : /root/temp/evalhook/tmp-php.ini More .INIs : CWD : /root/temp/evalhook Extra dirs : VALGRIND : Not used ===================================================================== TIME START 2019-01-04 07:46:12 ===================================================================== php -d extension=evalhook.so encoded_script.php 可直接dump大部分加密php文件中eval中的内容
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1076
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hookHook api 实现隐藏参数...
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 951
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过Sysmon和ETW的通用方法,我们对其进行了跟踪研究。4月8日,...
如何利用ETW(Event Tracing for Windows)记录日志
weixin_34326429的博客
09-14 1007
ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。 一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ET...
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8385
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各
windows事件跟踪--ETW(Event Trace For Windows)
07-19 8901
ETW主要包括3个component:Controller, Provider, and Consumer. 这3个的角色从名字一看就清楚了。 我简单介绍一下使用的方法: Provider首先应该用RegisterTraceGuids注册一个Event Trace,同时提供给RegisterTraceGuids的还有一个ControlCallback,这个callback在P
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 2348
EDR AV 逃避和免杀方案汇总
Win7、win8、win10下实现精准截获Explorer拷贝行为
浪子_三少(邮箱:basketwill@qq.com)
05-22 2516
已经发表于freebuf ( http://www.freebuf.com/column/134192.html) 在企业数据安全中我通常需要监测用户的拷贝行为,特别像explorer这样的进程,方法很多比如文件过滤驱动监测文件的打开与读写,但是这样会有很多噪音产生,实现的不好的话也可能会造成用户在桌面操作感受不良好,比如卡,所以我们需要的是一种更精准地方法,下面我们就来分析
vit-keras-0.0.11.tar.gz
最新发布
09-15
该资源为vit-keras-0.0.11.tar.gz,欢迎下载使用哦!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平奇群Derek

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值