SilkETW:一款针对Windows事件追踪的自定义C#封装工具

最新推荐文章于 2023-08-14 15:46:21 发布
最新推荐文章于 2023-08-14 15:46:21 发布
阅读量186 收藏
点赞数

1.jpg

SilkETW

SilkETW是一款针对ETW(Event Tracing for Windows)的自定义C#封装工具,该工具可以通过抽象化的方式简化ETW的复杂性,并帮助分析人员对目标应用进行内部架构以及运行机制方面的研究。虽然SilkETW是一款防御端应用程序,但是它目前所处的阶段仍只是研究工具。

为了方便大家使用,输出数据被序列化成了JSON格式。JSON数据可以直接在本地使用PowerShell进行加载和分析,也可以转移到类似Elasticsearch这样的第三方平台进行分析。

工具实现细节

代码库

SilkETW基于.NET v4.5开发,并使用了大量第三方库

 

ModuleId                                 VersionLicenseUrl                                                  

--------                                 -----------------                                                  

McMaster.Extensions.CommandLineUtils     2.3.2  https://licenses.nuget.org/Apache-2.0                       

Microsoft.Diagnostics.Tracing.TraceEvent2.0.36 https://github.com/Microsoft/perfview/blob/master/LICENSE.TXT

Newtonsoft.Json                          12.0.1  https://licenses.nuget.org/MIT                              

System.ValueTuple                        4.4.0   https://github.com/dotnet/corefx/blob/master/LICENSE.TXT    

YaraSharp                                1.3.1  https://github.com/stellarbear/YaraSharp/blob/master/LICENSE

 

命令行参数&选项

命令行的使用方式比较简单,用户在输入数据后即可获取验证结果:中国菜刀

2.png

JSON输出结构

JSON输出在进行序列化处理之前,会按照下列C#结构进行格式化:

 

public struct EventRecordStruct

    public Guid ProviderGuid;

    public List<String> YaraMatch;

    public string ProviderName;

    public string EventName;

    public TraceEventOpcode Opcode;

    public string OpcodeName;

    public DateTime TimeStamp;

    public int ThreadID;

    public int ProcessID;

    public string ProcessName;

    public int PointerSize;

    public int EventDataLength;

    public Hashtable XmlEventData;

}

请注意,根据不同的服务提供方以及事件类型,程序会在XmlEventData哈希表中存储不同的变量数据,下面给出的是针对”Microsoft-Windows-Kernel-Process”-> “ThreadStop/Stop”的JSON输出样本: 天空彩

 

 "ProviderGuid":"22fb2cd6-0e7b-422b-a0c7-2fad1fd0e716",

   "YaraMatch":[

 

   ],

  "ProviderName":"Microsoft-Windows-Kernel-Process",

  "EventName":"ThreadStop/Stop",

   "Opcode":2,

   "OpcodeName":"Stop",

  "TimeStamp":"2019-03-03T17:58:14.2862348+00:00",

   "ThreadID":11996,

   "ProcessID":8416,

   "ProcessName":"",

   "PointerSize":8,

   "EventDataLength":76,

   "XmlEventData":{

      "FormattedMessage":"Thread11,996 (in Process 8,416) stopped. ",

     "StartAddr":"0x7fffe299a110",

      "ThreadID":"11,996",

     "UserStackLimit":"0x3d632000",

     "StackLimit":"0xfffff38632d39000",

      "MSec":"560.5709",

      "TebBase":"0x91c000",

     "CycleTime":"4,266,270",

      "ProcessID":"8,416",

      "PID":"8416",

     "StackBase":"0xfffff38632d40000",

      "SubProcessTag":"0",

      "TID":"11996",

     "ProviderName":"Microsoft-Windows-Kernel-Process",

      "PName":"",

     "UserStackBase":"0x3d640000",

     "EventName":"ThreadStop/Stop",

     "Win32StartAddr":"0x7fffe299a110"

   }

}

工具使用

在PowerShell中过滤数据

在PowerShell的帮助下,你可以直接从SilkETW中导入JSON输出:

 

function Get-SilkData {

       param($Path)

       $JSONObject = @()

       Get-Content $Path | ForEach-Object {

              $JSONObject += $_ |ConvertFrom-Json

       }

       $JSONObject

}

在下面的样例中,我们将从内核收集进程的事件数据,并通过加载图片来验证Mimikatz的执行。我们可以使用下列命令收集到我们想要的数据:

SilkETW.exe -t kernel -kk ImageLoad -ot file -p C:\Users\b33f\Desktop\mimikatz.json

获取到数据之后,我们就可以根据属性来对数据进行排序、搜索和过滤了:

3.png

Yara

SilkETW提供了Yara功能来过滤数据或标记事件数据。虽然Yara规则普遍适用于防御端,但我们也可以在这里可以将其用于ETW研究。

在下面这个样例中,我们使用了Yara规则来检测内存中的Seatbelt执行:

 

rule Seatbelt_GetTokenInformation

       strings:

              $s1 ="ManagedInteropMethodName=GetTokenInformation" ascii wide nocase

              $s2 ="TOKEN_INFORMATION_CLASS" ascii wide nocase

              $s3 = /bool\(native int,valuetype\w+\.\w+\/\w+,native int,int32,int32&/

              $s4 = "locals(int32,int64,int64,int64,int64,int32& pinned,bool,int32)" ascii widenocase

      

       condition:

              all of ($s*)

}

我们可以使用下列命令收集.NET ETW数据,“-yo”参数表明我们只能将Yara匹配写入磁盘:

SilkETW.exe -t user -pn Microsoft-Windows-DotNETRuntime -uk 0x2038 -l verbose -yC:\Users\b33f\Desktop\yara -yo matches -ot file -pC:\Users\b33f\Desktop\yara.json

我们可以看到Yara规则的运行时匹配情况:

4.png

SilkETW获取&构建

我们可以直接下载SilkETW源码并在Visual Studio中进行编译。

下载地址:【点我下载预构建版本

项目地址

SilkETW:【GitHub传送门

systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#自定义缓存封装类实例
12-26
本文实例讲述了C#自定义缓存封装类。分享给大家供大家参考。具体如下: 这个自定义C#封装了部分常用的缓存操作,包括写入缓存,读取缓存,设置缓存过期时间等等,简化了C#的缓存操作,代码非常简单,易于阅读。 using System; using System.Web; namespace DotNet.Utilities { /// <summary> /// 缓存相关的操作类 /// </summary> public class DataCache { /// <summary> /// 获取当前应用程序指定CacheKey的Cache值 /
十大开源BUG跟踪系统
热门推荐
chenxingcxcy的专栏
08-16 3万+
十大开源BUG跟踪系统 在软件开发生命周期(SDLC)跟踪错误是其中一个最重要的步骤没有这一步软件可以是不完整的。这是一个很大的节省时间的添加和管理的错误是在Bug跟踪系统。很少的错误追踪系统不仅跟踪的错误,但也完全基于软件的项目管理与可用于许多其他任务。 但是,选择一个正确的bug跟踪系统,适合您的需要,是不是一个简单的问题。但在这里,我试图让您可以轻松,在这篇文章中
老网工必备好物,分享15个网络监控神器
SPOTO2021的博客
08-14 214
对于额外的支持和高级功能,客户可以选择用于基础设施监控的Nagios XI、用于管理多个全球位置的Nagios Fusion、用于流量数据发现的日志服务器或用于带宽监控和流量分析的网络分析器。在Gartner Peer Insights上,ManageEngine在IT基础设施和网络性能监控市场获得682条评论,平均得分为4.5/5星。在Gartner Peer Insights中,Broadcom在IT基础设施和网络性能监控市场的75条评论中平均得分为4.5/5星。
性能分析工具Systrace的使用详解
gqg_guan的博客
04-28 1934
systrace
12款适合小团队协作、任务管理和进度跟踪的在线任务管理的工具推荐?
柚橙论
02-20 3526
本文将对比国内外12款主流任务管理软件,如.开发任务管理PingCode,多合一项目任务管理Worktile,个人和小团队项目任务管理Notion,.企业任务管理平台SmartTask;,.小团队任务管理Teambition,IT任务追踪管理Jira等。
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 1646
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
Yara规则概述
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
yara规则
weixin_47576228的博客
09-02 962
本篇参照官网规则,将yara语法总结如本文部分
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:[email protected])
06-30 7971
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件跟踪机制。自windows2000开始,各
memset 线程安全_恶意.NET安全攻防(一):使用ETW隐藏你的.NET
weixin_35748962的博客
12-19 242
前言随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其中的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库中的一部分,负责为其提供“动力”的框架,通常会是Cobalt S...
C#自定义控件添加自定义事件
12-22
 希望事件响应代码推迟到使用自定义控件的窗体里写。  步骤一:新建一个用户控件,放两个按钮,Tag分别是btn1,btn2.  这两个按钮的共用单击事件处理代码如下: using System; using System.Collections....
C#自定义事件及用法实例
12-25
事件C#中一个重要的内容,MSDN上有一个自定义事件的演示示例。我看了半天有点晕,所以新建了一个winform工程添加了一个按钮,然后找出调用的程序,一对比做了一个类似的示例,就明白了。看代码有时候比看文档来得...
C#实现自定义FTP操作封装类实例
01-21
本文实例讲述了C#实现自定义FTP操作封装类。分享给大家供大家参考。具体如下: 这个C#封装了FTP的常用操作,包括连接ftp服务器、列表服务器上的目录和文件,从ftp下载文件,上传文件到ftp服务器等等 using System...
满意度调查行·知dr.pptx
04-25
满意度调查行·知dr.pptx
基于B2C的网上拍卖系统_秒杀与竞价.zip
04-25
基于B2C的网上拍卖系统主要用于帮助人们应用互联网方便快捷买到自己所中意的商品,并参与到秒杀与竞拍当中。 主要功能包括: 1.前台模块 (1)普通用户登录/注册。 (2)分类查看商品(普通商品与促销商品) (3)查看商品详细信息 (4)查看秒杀商品 (5)查看竞拍商品 (6)将商品加入购物车 (7)购买,结算功能 (8)留言 2.后台模块 (1)修改密码 (2)商品管理: -- 编辑/删除 -- 设置/取消促销 (3)秒杀商品:设置/取消秒杀 (4)竞拍商品:设置/取消竞拍 (5)订单管理:查看订单 (5)留言管理:查看/删除留言 项目访问路径: 前台:http://localhost:8080/sale 后台:http://localhost:8080/sale/user/adminlogin
分布式系统中Java后端开发技术及其应用实践.pdf
最新发布
04-25
分布式系统的核心思想是复杂计算任务的拆分与并行计算,可有效减少计算时间、节约算力成本。以分布式系统中Java后端开发技术的应用为主题,分析分布式系统开发的需求,探讨Java技术栈、分布式监控与日志管理、云服务模型在分布式系统Java后端开发中的应用路径,旨在为分布式系统的设计与实现提供全面的理论分析和实践指导,以支持构建高效、稳定、可扩展的企业级Java应用。 随着云计算、大数据和人工智能技术的飞速发展, 分布式系统已成为支撑现代企业信息系统的基础架构。 Java 后端开发技术在构建分布式系统中扮演着至关重要的 角色,其应用价值和研究重点主要集中在微服务架构、容 器化技术、自动化部署、服务网格、无服务器计算、应用 程序编程接口(Application Programming Interface, API)管理、数据一致性解决方案、分布式缓存、负载均衡、 复杂事件处理和分布式事务管理等方面[1]。Java平台以 其成熟的生态系统、跨平台的移植性、丰富的开源框架 和库以及稳定的性能,为分布式系统的开发提供了坚实 的基础[2]。深入探讨Java后端开发技术在分布式系统中 的应用实践,旨在为企
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
使用Spring in Guice和Guice in Spring的工具(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
小程序-61-微信小程序的学生选课系统--LW-源码.zip
04-25
提供的源码资源涵盖了小程序应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
c#封装好的视觉工具
07-28
C#有许多封装好的视觉工具可用于开发图像处理、计算机视觉和机器学习等应用。以下是一些常用的C#视觉工具: 1. EmguCV(OpenCV for C#):EmguCV是一个基于OpenCV的跨平台计算机视觉库,提供了丰富的图像处理和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值