ETW windows事件跟踪知识学习的愚见

已于 2023-07-19 15:23:39 修改
阅读量5.1w 收藏 6
点赞数 1
文章标签: windows 学习
于 2023-07-11 10:08:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31314583/article/details/131638802
版权

Windows 事件

etw模型网上有就不说了,这里主要是几个概念的区分
ETW的攻与防

Vista之前
Vista之前
Vista 引入的新事件模型,统一ETW和Event Logging的API
WIn10基于ETW 的TraceLogging 引入的简化的检测代码的方法
Windows事件
事件日志记录 Event Logging
Windows 事件跟踪 ETW
Windows事件日志 windows-event-log
TraceLogging

事件跟踪

适用于检测应用程序、将用户或内核事件记录到日志文件,以及使用日志文件中的事件或实时事件

为应用程序程序员提供
为应用程序程序员提供
检测应用程序以提供
检测应用程序以提供
描述应用程序或操作的当前状态的
描述应用程序或操作的当前状态的
调试应用程序
调试应用程序
ETW概述
启动事件跟踪会话的能力
停止事件跟踪会话的能力
提供跟踪事件的能力
使用跟踪事件的能力
ETW内容包含
事件标头
提供程序定义的数据
ETW能力
执行容量分析
执行容量分析

事件日志记录(Event Logging)

历史

事件日志记录为 (的应用程序和操作系统) 记录重要软件和硬件事件提供了一种标准的集中式方法,并将其存储在名为 事件日志的单个集合中。 事件查看器使你能够查看日志;编程接口还可用于检查日志。

读取EventLog的日志

ETW的各种有意思的实用

(ETW) Event Tracing for Windows 入门

针对 Windows 事件跟踪日志篡改的攻防研究

net中使用ETW事件

关于API查询EventLog 查询之 OpenEventLogW

优缺点:

使用OpenEventLogW 能够最大化兼容各个系统,但是不支持通道值。即下图中带文件夹的路径
使用极其简单

LPWSTR pwsLogName = L"Security";
HANDLE hEventLog = OpenEventLog(nullptr, pwsLogName);

支持的路径为:

即注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

通道的注册表位置

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell/Admin

通道查找发布者二进制文件来源

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{a0c1853b-5c40-4b15-8766-3cf1c58f985a}

项的值

在这里插入图片描述
MSDN示例demo:

查询事件信息

解决改善方法:

其路径指定的来源于上述的注册表,尚未试过伪造此处是否能够读取通道值
为何不支持通道的原因
关于修改注册表使得其支持通道的想法

API查询中的小疑惑

在OpenEventLog中事件类型由EVENTLOGRECORD结构中EventCategory标识,且仅有ID

而在EvtQuery中事件类型更名为Task字段标识,也仅有ID

事件类型字符串可以使用上述的ID 通过 FormatMessage 从提供者的二进制文件资源中解出,具体示例在OpenEventLog 函数示例中存在相应代码

字段
EventCategory

在这里插入图片描述

使用wmi查询则可以直接看到该字符串
在这里插入图片描述

各种查询事件日志的方法汇总

API①:OpenEventLog
缺点:不支持通道,只能拿上述注册表的
优点:使用简单,兼容好

HANDLE OpenEventLogW(
 [in] LPCSTR lpUNCServerName,
 [in] LPCSTR lpSourceName
);

API②:EvtQuery
缺点:只有Visita只有才可使用
优点:支持通道,船新的架构。嘎嘎棒

EVT_HANDLE EvtQuery(
 [in] EVT_HANDLE Session,
 [in] LPCWSTR    Path,
 [in] LPCWSTR    Query,
 [in] DWORD      Flags
);

③ wbemtest执行wmi查询,和OpenEventLog 类似,似乎不支持通道

select * from Win32_NTLogEvent where  EventCode = 104

或者PowerShell

Get-WmiObject -Query "select * from Win32_NTLogEvent where  EventCode = 104"

PowerShell可使用FilterHashtable如:

 Get-WinEvent -FilterHashtable @{
 LogName='Microsoft-Windows-PowerShell/Operational'
 }

④wevtutil工具获取

wevtutil query-events Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
魔法狮子
关注
Windows 事件追踪101
Frendguo的博客
03-07 1517
Windows® 事件追踪(ETW)是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制,能够跟踪用户级应用和内核级设备驱动程序产生的事件ETW 具有以下特征:开发人员可以根据预期用途选择合适的实现集(例如,很容易添加像 WPP 实现这样的 Printf,以用于调试目的的事件)。基础结构管理常用信息,如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2234
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
使用 Elastic 收集 Windows 遥测数据:ETW Filebeat 输入简介
最新发布
Elastic 中国社区官方博客
11-23 1207
ETW是一种轻量级、高性能的 Windows 原生机制,用于记录有关系统性能和活动()的详细事件数据。与传统的 Windows 事件日志不同,ETW 使用户能够收集低级遥测数据,这些遥测数据可针对不同的提供商和场景进行定制,包括系统性能洞察和特定于应用程序的诊断。提供商订阅:Filebeat 根据用户配置发起对一个或多个 ETW 提供商的订阅,无论是通过创建新会话还是连接到现有会话。数据收集:从活动 ETW 会话捕获事件或从 .etl 文件中解析事件
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 581
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 4301
Windows提供了统一的跟踪和记录事件的机制,称为ETW(Event Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
Event Tracing for Windows
weixin_30879169的博客
08-28 169
1 create and write the manifest.xml代码<instrumentationManifestxmlns="http://schemas.microsoft.com/win/2004/08/events"><instrumentationxmlns:xs="http://www.w3.org/2001/XMLSchema"xmln...
EtwTools:用于Windows事件跟踪ETW)的API
03-29
Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种高效、低开销的系统级日志记录机制,广泛应用于诊断、性能分析和监控。EtwTools是一个专门针对ETW的API,它允许开发者以编程方式与ETW交互,创建、管理...
etwbreaker:一个IDA插件,用于处理Windows事件跟踪ETW
03-09
ETWBreaker尝试查找有关静态编译到Windows模块中的ETW提供程序的所有参考。 基于清单的提供者 ETWBreaker将尝试查找资源名称WEVT_TEMPLATE 。 此资源包括模块的ETW清单。 一旦获得所有可用事件,就可以计算签名并...
USB Windows 事件跟踪
08-11
它基于Windows事件跟踪ETW)技术,为USB驱动程序开发者和调试者提供了详细的事件日志,帮助识别和解决问题。USB ETW支持在内核模式下记录事件,同时允许用户在不影响系统性能的情况下动态开启和关闭日志记录。 **...
使用Windows事件跟踪(ETW)观察公共语言运行时CLR.PPT
10-16
### 使用Windows事件跟踪(ETW)观察公共语言运行时CLR #### 一、Windows事件跟踪(ETW)简介 Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种轻量级、高效的实时系统和应用程序行为跟踪技术。ETW允许...
Windows10EtwEvents:来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件
03-21
Windows 10 ETW事件 来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件 版本 大事记 清单提供者 MOF提供者 未知的提供者 1511 43,319 811 195 24 1607 45,569 830 193 23 1703 46,532 842 194 31 1709 47,687 854 193 28岁 1803 48,226 855 192 29 1809年 49,080 863 190 25 1903年 49,734 867 187 24 1909年 49,773 868 187 24 2004年 50,391 871 187 25 2009年 50399 872 187 25 是否需要其他格式的数据? 罗伯托·罗德里格斯(Roberto Rodrigue
windows ETW training course
02-10
this is the ETW overview training course, and will give you are brief introduction of how to use ETW.
Event Tracing For Windows
weixin_30488313的博客
09-29 218
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
Event Tracing for Windows(ETW) - 使用事件跟踪 译(5)
勿以恶小而为之,勿以善小而不为
05-13 439
Using Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪的Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
Event Tracing for Windows(ETW) - 进行事件跟踪 译(3)
勿以恶小而为之,勿以善小而不为
05-13 2512
About Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 事件跟踪下控制器与会话 译(6)
勿以恶小而为之,勿以善小而不为
05-14 545
Controlling Event Tracing Sessions 原文链接 作者:Microsoft 译者:塔塔塔塔塔 Session 记录来自一个或多个Provider的Event。Controller定义Session并启用Provider。定义Session通常包括指定Session名字和日志文件,及要使用的日志文件的类型以及用于记录Event的时间戳的分辨率(resolution of the time stamp)。控制器还可以更新和查询Session。 以下主题演示了如何定义和更新Sessi
Event Tracing for Windows(ETW) - 提供者 译(9)
勿以恶小而为之,勿以善小而不为
05-18 339
Providing Events 原文链接 作者:Microsoft 译者:塔塔塔塔塔 Provider是包含事件跟踪检测的应用程序。Provider进行注册后,Controller 便可以在Provider 中启用或禁用事件跟踪。Provider定义其对启用或禁用的解释(interpretation)。通常,启用 Provider 会生成事件,而禁用 Provider 则不会。这让我们添加事件跟踪时不需在所有时间生成事件。 本节向内容: 写Event 写相关Event 发布Evnet 概要与consum
Event Tracing for Windows(ETW) - 事件跟踪会话 译(4)
勿以恶小而为之,勿以善小而不为
05-13 593
Event Tracing Sessions 原文链接 作者:Microsoft 译者:塔塔塔塔塔 Controller启用Event Tracing Session从一个或多个Provider记录Event。Session还负责管理和刷新缓冲区。Controller定义会话,包括指定Session和日志文件名,要使用的日志文件的类型以及用于记录Event的时间戳的Resolution(?)。 Event Tracing最多支持同时执行64个Session。在这些Sessions中,有两个特殊目的Sessi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值