ETW windows事件跟踪知识学习的愚见

已于 2023-07-19 15:23:39 修改
阅读量1.4k 收藏 5
点赞数 1
文章标签: windows 学习
于 2023-07-11 10:08:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31314583/article/details/131638802
版权

Windows 事件

etw模型网上有就不说了,这里主要是几个概念的区分
ETW的攻与防

Vista之前
Vista之前
Vista 引入的新事件模型,统一ETW和Event Logging的API
WIn10基于ETW 的TraceLogging 引入的简化的检测代码的方法
Windows事件
事件日志记录 Event Logging
Windows 事件跟踪 ETW
Windows事件日志 windows-event-log
TraceLogging

事件跟踪

适用于检测应用程序、将用户或内核事件记录到日志文件,以及使用日志文件中的事件或实时事件

为应用程序程序员提供
为应用程序程序员提供
检测应用程序以提供
检测应用程序以提供
描述应用程序或操作的当前状态的
描述应用程序或操作的当前状态的
调试应用程序
调试应用程序
ETW概述
启动事件跟踪会话的能力
停止事件跟踪会话的能力
提供跟踪事件的能力
使用跟踪事件的能力
ETW内容包含
事件标头
提供程序定义的数据
ETW能力
执行容量分析
执行容量分析

事件日志记录(Event Logging)

历史

事件日志记录为 (的应用程序和操作系统) 记录重要软件和硬件事件提供了一种标准的集中式方法,并将其存储在名为 事件日志的单个集合中。 事件查看器使你能够查看日志;编程接口还可用于检查日志。

读取EventLog的日志

ETW的各种有意思的实用

(ETW) Event Tracing for Windows 入门

针对 Windows 事件跟踪日志篡改的攻防研究

net中使用ETW事件

关于API查询EventLog 查询之 OpenEventLogW

优缺点:

使用OpenEventLogW 能够最大化兼容各个系统,但是不支持通道值。即下图中带文件夹的路径
使用极其简单

LPWSTR pwsLogName = L"Security";
HANDLE hEventLog = OpenEventLog(nullptr, pwsLogName);

支持的路径为:

即注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

通道的注册表位置

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell/Admin

通道查找发布者二进制文件来源

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{a0c1853b-5c40-4b15-8766-3cf1c58f985a}

项的值

在这里插入图片描述
MSDN示例demo:

查询事件信息

解决改善方法:

其路径指定的来源于上述的注册表,尚未试过伪造此处是否能够读取通道值
为何不支持通道的原因
关于修改注册表使得其支持通道的想法

API查询中的小疑惑

在OpenEventLog中事件类型由EVENTLOGRECORD结构中EventCategory标识,且仅有ID

而在EvtQuery中事件类型更名为Task字段标识,也仅有ID

事件类型字符串可以使用上述的ID 通过 FormatMessage 从提供者的二进制文件资源中解出,具体示例在OpenEventLog 函数示例中存在相应代码

字段
EventCategory

在这里插入图片描述

使用wmi查询则可以直接看到该字符串
在这里插入图片描述

各种查询事件日志的方法汇总

API①:OpenEventLog
缺点:不支持通道,只能拿上述注册表的
优点:使用简单,兼容好

HANDLE OpenEventLogW(
 [in] LPCSTR lpUNCServerName,
 [in] LPCSTR lpSourceName
);

API②:EvtQuery
缺点:只有Visita只有才可使用
优点:支持通道,船新的架构。嘎嘎棒

EVT_HANDLE EvtQuery(
 [in] EVT_HANDLE Session,
 [in] LPCWSTR    Path,
 [in] LPCWSTR    Query,
 [in] DWORD      Flags
);

③ wbemtest执行wmi查询,和OpenEventLog 类似,似乎不支持通道

select * from Win32_NTLogEvent where  EventCode = 104

或者PowerShell

Get-WmiObject -Query "select * from Win32_NTLogEvent where  EventCode = 104"

PowerShell可使用FilterHashtable如:

 Get-WinEvent -FilterHashtable @{
 LogName='Microsoft-Windows-PowerShell/Operational'
 }

④wevtutil工具获取

wevtutil query-events Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
魔法狮子
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows 事件追踪101
Frendguo的博客
03-07 1314
Windows® 事件追踪(ETW)是一种由操作系统提供的多用途、快速的跟踪工具。它通过在内核层面上实现的一套缓冲和日志记录机制,能够跟踪用户级应用和内核级设备驱动程序产生的事件ETW 具有以下特征:开发人员可以根据预期用途选择合适的实现集(例如,很容易添加像 WPP 实现这样的 Printf,以用于调试目的的事件)。基础结构管理常用信息,如时间戳、函数名称和源文件行号。相同的实现用于用户模式应用和内核模式组件。ETW 可在故障转储和实时调试中进行访问。
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2028
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
探索Windows内核的奥秘:EtwConsumerNT项目深度剖析
最新发布
gitblog_00093的博客
06-21 644
探索Windows内核的奥秘:EtwConsumerNT项目深度剖析 EtwConsumerNTSimple project that demonstrates how an ETW consumer can be created just by using NTDLL项目地址:https://gitcode.com/gh_mirrors/et/EtwConsumerNT 项目介绍 在Windo...
Windows如何启动和停止etw事件监听
ccf19881030的专栏
04-30 331
Windows Etw监听启动和停止
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 514
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
Event Tracing for Windows
weixin_30879169的博客
08-28 148
1 create and write the manifest.xml代码<instrumentationManifestxmlns="http://schemas.microsoft.com/win/2004/08/events"><instrumentationxmlns:xs="http://www.w3.org/2001/XMLSchema"xmln...
Event Tracing For Windows
weixin_30488313的博客
09-29 187
https://blogs.msdn.microsoft.com/oanapl/2009/08/04/etw-event-tracing-for-windows-what-it-is-and-useful-tools/ https://www.codeproject.com/articles/570690/application-analysis-with-event-tracing-for-w...
EtwTools:用于Windows事件跟踪ETW)的API
03-29
Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种高效、低开销的系统级日志记录机制,广泛应用于诊断、性能分析和监控。EtwTools是一个专门针对ETW的API,它允许开发者以编程方式与ETW交互,创建、管理...
etwbreaker:一个IDA插件,用于处理Windows事件跟踪ETW
03-09
ETWBreaker尝试查找有关静态编译到Windows模块中的ETW提供程序的所有参考。 基于清单的提供者 ETWBreaker将尝试查找资源名称WEVT_TEMPLATE 。 此资源包括模块的ETW清单。 一旦获得所有可用事件,就可以计算签名并...
Windows10EtwEvents:来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件
03-21
Windows 10 ETW事件 来自Windows 10版本中所有基于清单和基于Mof的ETW提供程序的事件 版本 大事记 清单提供者 MOF提供者 未知的提供者 1511 43,319 811 195 24 1607 45,569 830 193 23 1703 46,532 842 194 31 1709 47,687 854 193 28岁 1803 48,226 855 192 29 1809年 49,080 863 190 25 1903年 49,734 867 187 24 1909年 49,773 868 187 24 2004年 50,391 871 187 25 2009年 50399 872 187 25 是否需要其他格式的数据? 罗伯托·罗德里格斯(Roberto Rodrigue
windows ETW training course
02-10
this is the ETW overview training course, and will give you are brief introduction of how to use ETW.
USB Windows 事件跟踪
08-11
它基于Windows事件跟踪ETW)技术,为USB驱动程序开发者和调试者提供了详细的事件日志,帮助识别和解决问题。USB ETW支持在内核模式下记录事件,同时允许用户在不影响系统性能的情况下动态开启和关闭日志记录。 **...
Event Tracing for Windows(ETW) - 使用事件跟踪 译(5)
勿以恶小而为之,勿以善小而不为
05-13 391
Using Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 下面主题描述了如何使用ETW API进行事件跟踪。 主题 描述 控制 事件跟踪的Session 描述如何管理事件跟踪会话 提供 Event 描述如何注册和检测一个Event Trace Provider 消耗 Event 描述如何实现用于从跟踪日志文件或实时使用和处理事件的回调函数 Windows Software Trace Preprocessor 提供一种有效的机制来记录和使用在应
Event Tracing for Windows(ETW) - 进行事件跟踪 译(3)
勿以恶小而为之,勿以善小而不为
05-13 2333
About Event Tracing 原文链接 作者:Microsoft 译者:塔塔塔塔塔 ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。 ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。 事件跟踪分为三个部分: Controllers,开启和停止Event Tracing Session 和 Enable Pro
Event Tracing for Windows(ETW) - 事件跟踪下控制器与会话 译(6)
勿以恶小而为之,勿以善小而不为
05-14 454
Controlling Event Tracing Sessions 原文链接 作者:Microsoft 译者:塔塔塔塔塔 Session 记录来自一个或多个Provider的Event。Controller定义Session并启用Provider。定义Session通常包括指定Session名字和日志文件,及要使用的日志文件的类型以及用于记录Event的时间戳的分辨率(resolution of the time stamp)。控制器还可以更新和查询Session。 以下主题演示了如何定义和更新Sessi
Event Tracing for Windows(ETW) - 提供者 译(9)
勿以恶小而为之,勿以善小而不为
05-18 294
Providing Events 原文链接 作者:Microsoft 译者:塔塔塔塔塔 Provider是包含事件跟踪检测的应用程序。Provider进行注册后,Controller 便可以在Provider 中启用或禁用事件跟踪。Provider定义其对启用或禁用的解释(interpretation)。通常,启用 Provider 会生成事件,而禁用 Provider 则不会。这让我们添加事件跟踪时不需在所有时间生成事件。 本节向内容: 写Event 写相关Event 发布Evnet 概要与consum
Event Tracing for Windows(ETW) - 事件跟踪会话 译(4)
勿以恶小而为之,勿以善小而不为
05-13 500
Event Tracing Sessions 原文链接 作者:Microsoft 译者:塔塔塔塔塔 Controller启用Event Tracing Session从一个或多个Provider记录Event。Session还负责管理和刷新缓冲区。Controller定义会话,包括指定Session和日志文件名,要使用的日志文件的类型以及用于记录Event的时间戳的Resolution(?)。 Event Tracing最多支持同时执行64个Session。在这些Sessions中,有两个特殊目的Sessi
Windows ETW技术详解:高效事件追踪
ETW,全称Event Tracing for Windows,是微软操作系统提供的一种高效且低开销的事件追踪机制。它最早在Windows 2000中引入,并随着Windows版本的更新而逐步增强,尤其在Windows 7中得到了显著提升。ETW不仅用于操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值