kellect:Windows内核级别事件日志的采集工具

最新推荐文章于 2024-04-10 11:09:51 发布
最新推荐文章于 2024-04-10 11:09:51 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: windows etw 文章标签: windows visual studio ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010935199/article/details/124952753
版权

github开源地址
gitlink开源地址

kellect 简介

kellect(a Kernel-based efficient and Lossless event log collector)是一个用于内核级别事件日志的完整处理系统框架 ,包括收集、清理、融合、存储和分析。

kellect作为首发版本,是一款基于ETW(Event Tracing for Windows)的多线程Windows内核日志收集器,采用C++语言开发,性能高效。 kellect可以跟踪Windows系统的内核级事件信息,如FileIO、Process、Thread、ImageLoad、Registry等。

该程序集成了事件收集、事件分析、事件语义校正、事件输出等功能。最后以JSON格式输出,可以指定输出到文件路径或通过socket传输到另一台主机。

用户可以直接通过PowerShell.exe或cmd.exe使用该工具,并根据需要进行命令参数的设定,无需修改源代码。我们还提供了一些配置文件,用户可以根据需求进行定制。

实现细节

kellect使用一些第三方依赖库,如下所示,请查阅LICENSE-3RD-PARTY获取更多信息。

模块名称版本License链接
easyloggingppv9.96.7https://github.com/amraynonweb/easyloggingpp
moodycamel::ConcurrentQueue/https://github.com/cameron314/concurrentqueue
nlohmann::jsonv3.10.4https://github.com/nlohmann/json

kellect的开发主要依赖于Clion开发工具,编译主要依赖于MSVC编译器。开发用到的软件和版本如下表所示:

工具名称版本
Visual Studio16.11.13
MSVC19.29.30143.0
Windows SDK10.0.20348.0
Clion2022.1

kellect的目录结构如下所示:

目录名称说明
include头文件
lib第三方库
source源文件
source/config配置文件
release发布版本

kellect 说明

通过命令行调用

经过测试,kellect可以在Windows7(x64)系统以上版本运行。

采集器必须以管理员身份运行。如下所示,可通过配置参数的形式进行功能的选择。

image-20220503171012480

我们可以通过以下命令进行数据采集:

kellect.exe -e 1 -f test.json

注意: 参数 -e 请输入十进制格式参数。

配置文件的用法

用户可以通过配置filter.txt实现不同功能。通常采集器运行不需要进行修改,除非有定制化的需求。

  • filter.txt的功能是去过滤不需要的日志数据。配置中可以进行三种不同类型的配置:进程ID、事件类别、Image文件路径的黑白名单。默认配置如下所示:
filteredProcessID
0 4 128

filteredEventIdentifier
2429279289 76
2429279289 69
2429279289 74
2429279289 75
2429279289 84
2429279289 82
2429279289 80
2429279289 81
2429279289 79
2429279289 83
2429279289 86
3208270021 11
3208270021 17
3208270021 27
3208270021 26
3208270021 10
1030727888 11

blacklistOfImageFiles

whitelistOfImageFiles

配置文件不同标签详情:

  1. [filteredProcessID]

    表示根据此标签中的 ID 列表过滤事件。 进程 ID 由空格分隔。

  2. [filteredEventIdentifier]

    表示通过Event ProviderID和opcode的组合过滤事件,我们称之为EventIdentifier。 具体的事件日志详情可以在微软文档中获取. ProviderID 是 Guid 类第一部分的十进制形式,opcode 是每个 BaseEvent Class Page 的 Remarks 下的 EventType 值。

    image-20220503171251436

    image-20220503171255065

  3. [blacklistOfImageFiles]

    可以通过此标签中列出的Image过滤 Image 和 CallStack 类型的事件。

  4. [whitelistOfImageFiles]

    可以通过此标签中列出的Image来保留Image和 CallStack 类型的事件。

输出格式

我们以 JSON 格式输出事件记录。 每个 BaseEvent 都有两部分属性:公共属性和私有属性。 各部分说明如下:

  • 公共属性
属性描述
threadID产生事件的线程ID
processID产生事件的进程ID
processName产生事件的进程名称
timestamp事件发生的时间

  • 私有属性

    此类型属性因事件类型而异。 例如:

  1. file_create 事件

    属性描述
    IrpPtrIO请包
    TTID正在创建文件的线程的线程标识符
    FileObject可用于在文件创建和关闭事件之间将操作与同一打开的文件对象实例相关联的标识符
    CreateOptions在 CreateOptions 和 CreateDispositions 参数中传递给 NtCreateFile 函数的值
    FileAttributes在 FileAttributes 参数中传递给 NtCreateFile 函数的值
    ShareAccess在 ShareAccess 参数中传递给 NtCreateFile 函数的值
    OpenPath文件路径

  2. FileIo_Name 事件

    属性描述
    FileObject将此指针的值与 DiskIo_TypeGroup1 事件中的 FileObject 指针值匹配以确定 I/O 操作的类型
    FileName文件的完整路径,不包括驱动器号

  3. CallStack 事件 . 我们收集的API是Windows自己提供的,不收集用户自定义dll文件中的任何API。

    属性描述
    callStackInfo进程操作的调用栈.
    (每个调用的格式如下所示 : ModulePath:APIName, 如: C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock)

  4. … 我们可以在微软的文档中找到其他的时间属性描述

需要注意的是,我们已经修改或填充了大部分事件的属性,所以Windows提供的原生事件和我们的会有一些差异。

输出情况如下:

#FileIO的create 事件
{
    "EventName":"FileIOCreate",
    "ProcessID":11144,
    "ProcessName":"clion64.exe",
    "ThreadID":15692,
    "TimeStamp":132959694278638867,
    "arguments":{
        "CreateOptions":50331744,
        "FileAttributes":128,
        "FileObject":251724112,
        "IrpPtr":116229640,
        "OpenPath":"C:\Users\Administrator\AppData\Local\JetBrains\CLion2022.1\caches\contentHashes.dat.keystream.len",
        "ShareAccess":7,
        "TTID":15692
    }
}

#callstack事件
{
    "EventName":"CallStack",
    "ProcessID":11144,
    "ProcessName":"clion64.exe",
    "ThreadID":15692,
    "TimeStamp":132959694278638867,
    "arguments":{
        "stackInfo":"C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:LdrSystemDllInitBlock,
        C:\Windows\System32\ntdll.dll:RtlCaptureStackContext"
    }
}
SongQijie
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
Windows内核模块中的写文件操作
06-15
在编写Windows驱动程序的时候,往往使用debugview打印日志,单步跟踪驱动程序的执行情况,但是,有时候debugview的功能还不够,需要手动将驱动程序里的某些信息写入本地文件,该程序就是实现这个功能
Windows和Linux远程日志收集
ITmoster的博客
03-14 1731
每个企业都需要从其整个网络中的设备收集和监视日志数据,以确保安全性,对操作问题进行故障排除以及对安全事件进行取证分析。为此,他们可能依赖于日志管理工具或SIEM解决方案。无论使用哪种工具,将日志收集到集中位置都比看起来困难得多。从配置设备以将日志数据发送到中央服务器以确保传输中的日志的安全性,日志收集与任何其他日志管理过程一样重要且困难。
下载kellect项目后,开发环境搭建
qq_44863329的博客
05-28 357
采用clion进行开发,编译器采用MSVC! 1、从VS官网下载Installer,最新版也可。 2、打开Installer,安装社区版即可,在单个组件选项页面搜索msvc,找到MSVC v143 - VS 2022 C++ X64/x86生成工具(最新),在对应是VS版本中找到最新即可,版本不低于上图显示即可。 参考文章1 3、cmake 运行环境安装 参考文章2 4、下载clion安装,打开kellect项目 这里开始时没注意,clion使用默认的MinGW,build后出现一些错误 后来在修
windows日志捕获工具-DebugView使用教程
无奈滴微笑
04-14 2961
比如我想抓我一个软件的操作日志记录的话,我可以先点击3清空日志,然后开始 打开2的开关,开始捕获日志。然后开始我的软件操作,等操作完成后,再关闭2的开关,停止捕获日志,点击1保存好日志文件就可以了。Exclude就是过滤掉不想要的关键字,比如某些软件的干扰日志太多了,不想显示他就可以在这里设置过滤掉。Include代表过滤想要的关键字,一般不会找自己想要的关键字日志就设置成星号*,表示显示所有日志。Highlight就是设置高亮行,想突出显示自己想要的关键字就可以在这里设置。4就是打开刚才的过滤条件。
日志收集工具
ITmoster的博客
07-17 628
EventLog Analyzer 的内置系统日志服务器自动配置和收集来自网络设备的系统日志,允许管理员执行系统日志分析,并提供对安全事件的深入见解。
fibratus:Windows内核探索和跟踪的现代工具
02-06
纤颤Windows内核探索和可观察性的现代工具 ••什么是Fibratus? Fibratus是用于探索和跟踪Windows内核工具。 它使您可以捕获系统范围内的例如进程生命周期,文件系统I / O,注册表修改或网络请求以及许多其他可...
寒江独钓:Windows内核安全编程
07-23
资源名称:寒江独钓:Windows内核安全编程资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
windows内核驱动漏洞挖掘工具.rar
03-16
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile,目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer会用...
ioctlbf:Windows内核驱动程序模糊器
02-06
`ioctlbf`是一个针对Windows内核驱动程序的模糊测试工具,主要用于发现驱动程序中的安全漏洞和不稳定行为。在深入理解`ioctlbf`之前,我们首先需要了解几个关键概念。 **Windows内核驱动程序**: Windows操作系统的...
dumplib:Windows 内核转储分析器
06-07
`dumplib`是一个用Python编写的工具,专门用于解析和分析这些Windows内核转储文件,为故障排查提供便利。 Python语言因其强大的库支持和易读性,成为编写这类工具的理想选择。`dumplib`利用Python的灵活性和高效性...
关于CFG的研究
sxr__nc的博客
04-03 1427
关于CFG的研究 CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制 防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
内核中对文件的读写操作
weixin_30548917的博客
03-11 435
在项目中,需要在内核里读取文件内容到内存中,需要用到的函数有: struct file *filp_open(const char *filename, int flags, umode_t mode)int filp_close(struct file *filp, fl_owner_t id) static inline struct inode *file_inode(const s...
Windows 事件日志分析管理
ITmoster的博客
03-10 1379
EventLog Analyzer 是一款称职的日志管理工具,可以收集、分析和存档事件日志以及多种其他日志格式,以确保网络安全。
通过windows日志查看器查看系统登陆日志
热门推荐
gibbs_的博客
06-12 2万+
起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录的方法 参考: http://www.cflab.net/News/1522379153901 https://blog.csdn.net/C_chuxin/article/details/84974207 https://www.akunblog.com/archives/275.html 操作方法: 打开事件查看器 事件查看器->windows日志->安全 右侧选择筛选当前日志 筛选事件ID
【网安合规】使用 Rsyslog Agent - 快速收集Windows主机系统日志,合规利器!
最新发布
WeiyiGeek 唯一极客IT知识分享
04-10 1153
本章,作者立足于企业中网络安全等级保护以及安全运维工作需求,针对WindowsServer服务器的相关系统、安全、应用日志进行采集,通过rsyslog服务器接收Windows客户端转发的syslog消息,并通过rsyslog消息模板进行过滤提取消息中事件类型,之后使用Promtail抓取存储在rsyslog日志服务器中的Windows日志上传到Loki,然后在使用Grafan针对Windows相关日志类型进行检索,当发生安全事件时极大的提高跟踪溯源能力,希望能帮助到各位有需要的看友。
【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等
今天是几号的博客
05-03 2769
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。
Mark备查。。。Win8 RP的ntdll新增函数列表
a1875566250的专栏
06-04 4040
Win7 SP1对比Win8 RP [C:\Users\Windows\Desktop\ntdll.dll] compare [C:\Windows\system32\ntdll.dll],file1 not: NtGetPlugPlayEvent RtlEnlargedUnsignedDivide TpDbgGetFreeInfo TpPoolFreeUnusedNodes
华为服务器系统日志收集工具,windows服务器日志查看工具
weixin_34005090的博客
08-08 712
windows服务器日志查看工具 内容精选换一换msnpureport工具部署在Host侧,该工具有以下用途:导出Device侧的slog日志、syslog日志、黑匣子和Stackcore文件。导出的日志和文件将存储到运行msnpureport工具的路径下以时间戳命名的子目录中,且slog日志、syslog日志、黑匣子和Stackcore文件分别存储到slog、message、hisi当客户选择切...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值