探索Etw-Syscall:一个强大的Windows系统调用追踪工具

最新推荐文章于 2024-11-05 20:20:12 发布
最新推荐文章于 2024-11-05 20:20:12 发布
阅读量759 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00089/article/details/137992226
版权

探索Etw-Syscall:一个强大的Windows系统调用追踪工具

去发现同类优质开源项目:https://gitcode.com/

项目简介

是一个开源项目,旨在提供一个高效、轻量级的方式来追踪和分析Windows操作系统的系统调用。它利用了Windows事件跟踪(Event Tracing for Windows, ETW)技术,帮助开发者、安全研究人员和性能优化人员深入了解系统内部行为,从而进行问题诊断、性能监控或者恶意软件分析。

技术分析

ETW是Windows内置的一种低开销的日志记录机制,Etw-Syscall正是利用了这一特性。项目的核心是动态地注入一个小型的DLL到目标进程,该DLL负责拦截和记录所有的系统调用。每个系统调用的信息包括调用号、参数和返回值,这些数据被以ETW事件的形式发送出来。用户可以使用诸如wevtutil命令行工具或第三方ETW分析工具来收集和解析这些事件。

该项目的特点在于它的设计思路:只在需要的时候才开启系统调用的追踪,这样可以避免对系统性能产生显著影响。此外,由于是基于ETW,所以即使在高负载情况下,也能保证追踪信息的可靠性和实时性。

应用场景

Etw-Syscall适用于多种场合:

  1. 调试与问题排查 - 当应用出现奇怪的行为时,通过查看系统调用序列,可以快速定位问题所在。
  2. 性能优化 - 分析哪些系统调用消耗了大量时间,有助于找出性能瓶颈并进行优化。
  3. 安全研究 - 监控可疑进程的系统活动,用于病毒、恶意软件分析和防护策略制定。
  4. 软件自动化测试 - 自动记录系统调用,生成测试报告,验证软件功能的正确性。

特点概述

  • 低侵入性:仅在需要时启用,不影响正常运行。
  • 高性能:基于ETW,保证了数据采集的高效和实时。
  • 灵活性:支持动态注入和卸载,适应不同应用场景。
  • 可扩展性:易于与其他ETW工具集成,便于进一步的数据分析和处理。

结语

Etw-Syscall为Windows环境下的系统调用分析提供了一种新颖而强大的解决方案。无论你是经验丰富的开发人员还是初学者,都可以轻松利用它来提升工作效率和解决复杂的技术问题。如果你正在寻找一个能够深入洞察操作系统行为的工具,那么Etw-Syscall无疑是一个值得尝试的选择。现在就去探索这个项目,开始你的系统调用追踪之旅吧!

去发现同类优质开源项目:https://gitcode.com/

红蓝对抗之红队免杀开发实践
悦分享
08-04 2090
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
ETW用户界面UIforETW.zip
07-16
UIforETW 是用于记录和管理 ETW 跟踪的用户界面。它更容易控制,比使用批处理文件和微软 wprui 要好得多。UIforETW 还能解决很多 ETW 跟踪问题(比如修复符号加载问题)并且增加额外的功能,例如 Chrome 进程分类。
TiEtwAgent:基于ETW的PoC内存注入检测代理,用于攻防研究
04-16
TiEtwAgent-基于ETW的过程注入检测 创建该项目的目的是研究,构建和测试不同的内存注入检测用例和旁路技术。 该代理利用Microsoft-Windows-Threat-Intelligence事件跟踪提供程序,作为Userland-hooking的一种更现代,更稳定的替代方法,它具有内核模式可见性的优点。 该项目依赖于库进行ETS设置和使用。 可以在此处找到随附的博客文章: : 添加新的检测 检测功能可以轻松地添加到DetectionLogic.cpp ,并可以针对任何源事件类型从detect_event(GenericEvent evt)调用。 通过将其名称附加到GenericEvent类声明中的映射,可以轻松添加对新事件字段的支持。 设定说明 假设您没有Microsoft信任的签名证书: 使用bcdedit将计算机置于测试签名模式 使用ELAM和代码签名EKU生成自
windows事件跟踪--ETW(Event Trace For Windows)
07-19 9140
ETW主要包括3个component:Controller, Provider, and Consumer. 这3个的角色从名字一看就清楚了。 我简单介绍一下使用的方法: Provider首先应该用RegisterTraceGuids注册一个Event Trace,同时提供给RegisterTraceGuids的还有一个ControlCallback,这个callback在P
Syscall-Monitor 使用教程
gitblog_00005的博客
09-24 467
Syscall-Monitor 使用教程 Syscall-Monitor Syscall Monitor is a system monitor program (like Sysinternal's Process Monitor) using Intel VT-X/EPT for Windows7+ ...
ETW是什么架构|Event Tracing for Windows
ChinaHuanyang的专栏
09-02 4474
在Visual Studio 2010中,我们可以利用性能计数器对应用程序的性能进行实时的监视,以发现应用程序的性能瓶颈的所在。当我们发现问题后,如果想解决问题,就需要更多的信息。这个时候,就该ETW上场了。   ETW(Event Tracing for Windows )   ETW(Event Tracing for Windows) 是由操作系统提供的一种通用的,系统开
探索Windows的脉络 —— 使用ETWInspector深度挖掘系统事件
gitblog_00011的博客
06-14 298
探索Windows的脉络 —— 使用ETWInspector深度挖掘系统事件 ETWInspector项目地址:https://gitcode.com/gh_mirrors/et/ETWInspector 在复杂的Windows操作系统环境中,事件追踪对于Windows (ETW) 是一个不可或缺的强大工具,它使开发者和管理员能够洞察系统的底层运作。今天,我们要向您介绍一款名为ETWInspec...
讲一下ETW绕过
最新发布
04-18
ETW(Event Tracing for Windows)是Windows的事件追踪机制,用于监控系统和应用程序的行为,尤其是安全产品如EDR会用它来检测恶意活动。所以绕过ETW通常是攻击者或红队为了隐藏行踪的手段。 接下来,我得考虑用户...
深入浅出:信标对象文件集合在C++中的应用
最后,描述中还提到了生成和静态Syscall Shellcode注入(NtQueueApcThread),这是一种高级技术,用于在进程中排队一个异步过程调用(APC)以执行特定的代码。static_syscalls_apc_spawn和stat可能是指使用静态生成...
pwc.rar_trace
09-14
常见的追踪技术包括使用内核日志、内核调试器(如kd或windbg)、系统调用追踪(如strace或syscall trace)、或者自定义的追踪框架(如Linux的ftrace)。 在实际应用中,追踪驱动程序的特定动作可能涉及以下步骤: 1...
探索Windows事件追踪ETW库的全面解析与应用
gitblog_00053的博客
05-25 842
探索Windows事件追踪ETW库的全面解析与应用 pywintrace ETW Python Library 项目地址: https://gitcode.com/gh_mirrors/py/pywintrace ...
Event Tracing for Windows(ETW) - 配置并开始事件跟踪的会话 译(7)
勿以恶小而为之,勿以善小而不为
05-14 1298
Configuring and Starting an Event Tracing Session\ 原文链接 作者:Microsoft 译者:塔塔塔塔塔 配置Session,使用EVENT_TRACE_PROPERTIES结构体指定Session的属性。为EVENT_TRACE_PROPERTIES结构体分配的内存必须足够大,以包含结构下的的Session和日志文件名。 指定Session的属性后,调用StartTrace函数以启动Session。如果该函数成功,则SessionHandle参数将包含Se
浅谈 Windows Syscall
全粘工程师
10-27 597
其具体含义是先解析 Ntdll.dll 的 导出地址表 EAT,定位所有以 “Zw” 开头的函数,将开头替换成 “Nt”,将 Code stub 的 hash 和地址存储在 SYSCALL_ENTRY 结构的表中,存储在表中的系统调用的索引是SSN(System Service Numbers,系统服务编号)。内核中包含了大部分操作系统的内部数据结构,所以用户模式下的应用程序在访问这些数据结构或调用内部Windows例程以执行特权操作的时候,必须先从用户模式切换到内核模式,这里就涉及到系统调用
注入ETW绕过:基于Syscalls的远程进程注入工具
gitblog_00366的博客
11-05 287
注入ETW绕过:基于Syscalls的远程进程注入工具 injectEtwBypass CobaltStrike BOF - Inject ETW Bypass into Remote Process via Syscalls (HellsGate|HalosGate) ...
Windows下查看dll被哪个进程调用
weixin_33724570的博客
02-05 361
卸载程序,结果没卸载干净---程序的安装目录中还剩下一个dll文件。想删,结果系统提示说dll文件被某个进程占用了,不让删。 先前碰到这种做法,我都是直接使用unlocker先unlock一下,然后删的。不过公司的电脑,不让随便安装软件,于是只能想其他办法了。 在网上找了半天,终于给找到查看dll被某个进程调用的方法了。 在命令行下使用 tasklist /m dll文件名 就能查找了。原来...
injectEtwBypass:通过Syscalls远程注入ETW绕过器的CobaltStrike BOF插件
gitblog_00122的博客
08-25 943
injectEtwBypass:通过Syscalls远程注入ETW绕过器的CobaltStrike BOF插件 injectEtwBypassCobaltStrike BOF - Inject ETW Bypass into Remote Process via Syscalls (HellsGate|HalosGate)项目地址:https://gitcode.com/gh_mirrors/i...
推荐文章:利用ETW实现进程注入检测——TiEtwAgent
gitblog_00044的博客
05-28 557
推荐文章:利用ETW实现进程注入检测——TiEtwAgent 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 TiEtwAgent是一个创新的开源项目,专注于研究、构建和测试内存注入检测的不同场景和技术,以及绕过技巧。这个智能代理利用了Microsoft-Windows-Threat-Intelligence事件追踪提供者,作为用户态挂钩的现代替代方案,提供了内核模...
etw监控文件操作开发示例
youyudexiaowangzi的专栏
04-29 4020
微软官方文档 Event Tracing - Win32 apps | Microsoft Docs etw相关工具(目前主要用到logman查询providers) Event Tracing Tools - Win32 apps | Microsoft Docs 简述: windows事件跟踪也就是windows event trace(etw)。主要分为三个模块:事件提供者(provider)、事件控制器(controller)、事件订阅者(consumer)。普通程序员一般用系统提供的事件
隐藏的宝藏:使用ETW的入侵检测(第2部分)
爱我非你莫属的博客
07-16 1342
隐藏的宝藏:使用ETW的入侵检测(第2部分) 原文链接:https://docs.microsoft.com/zh-cn/archive/blogs/office365security/hidden-treasure-intrusion-detection-with-etw-part-2 在上一篇文章中,我们讨论了Windows事件跟踪(ETW)如何提供丰富的知识,以及Windows安全事件日志提供的知识。尽管我们可以更好地了解Windows活动,但ETW最初是作为大批量调试跟踪提供的。如果没有某种过滤或减
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋韵庚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值