首页 站长运维 脚本编程 Fibratus:一款效用强壮的Windows内核缺点诈欺和跟踪器械

摘要

此日给公共先容的是一款名叫Fibratus的开源用具,辽阔探求职员能够操纵这款效用健壮的用具来实行Windows内核毛病应用、发现与跟踪。

Fibratus:一款效用强壮的Windows内核缺点诈欺和跟踪器械

Fibratus这款用具或许搜捕到绝大大都的Windows内核举止-过程/线程创筑和终止,上下文转换,文献体例I/O,寄存器,收集举止以及DLL加载/卸载等等。除此以外,扫数的内核变乱能够直接以AMQP信息、Elasticsearch簇或圭臬输出流的式样供应给用户。公共能够操纵filaments(一款轻量级Python模块)来按照我方的需求去扩展Fibratus的效用,这也是Python生态体例给公共供应的方便之处。

   用具安设

点击【这里】下载Fibratus的最新版本(Windows安设包)。用具的修削日记和旧版本能够点击【这里】获取。

   安设依赖组件

1、 下载并安设Python 3.4【下载地方】;

2、 安设Visual Studio 2015(你只需求Visual C编译器来修筑kstreamc扩展),确保情况变量VS100COMNTOOLS指向的是“%VS140COMNTOOLS%”。

3、 获取Cython:

   pip install Cython >=0.23.4

通过pip承办理器安设fibratus

   pip install fibratus 用具运转

公共能够运转下令“fibratus –help”来获取操纵助助音信:

   Usage: fibratus run ([–filament=<filament>] [–filters <kevents>…]) [–no-enum-handles] [–cswitch] fibratus list-kevents fibratus list-filaments fibratus -h –help fibratus –version Options: -h –help Show this screen. –filament=<filament> Specify the filament to execute. –no-enum-handles Avoids enumerating the system handles. –cswitch Enables context switch kernelevents. –version Show version.

运转下令fibratus run(无需任何参数),可直接搜捕到扫数扶助的内核变乱,限定器初始化竣事之后,搜捕到的内核变乱会不断输出并外现给用户:

   555020:28:14.882000 3 cmd.exe (4396) – UnloadImage (base=0x77950000,checksum=1313154, image=ntdll.dll,path=\Device\HarddiskVolume2\Windows\SysWOW64\ntdll.dll, pid=4396, size=1536.0) 555120:28:14.882000 3 erl.exe (2756) – TerminateProcess(comm=C:\Windows\system32\cmd.exe /cdir /-C /Wc:/Users/Nedo/AppData/Roaming/RabbitMQ/db/rabbit@NEDOPC-mnesia,exe=C:\Windows\system32\cmd.exe, name=cmd.exe, pid=4396, ppid=2756) 555220:28:14.882000 3 erl.exe (2756) – CloseFile(file=\Device\HarddiskVolume2\Windows, tid=1672) 563120:28:17.286000 2 taskmgr.exe (3532) – RegQueryKey(hive=REGISTRY\MACHINE\SYSTEM, key=ControlSet001\Control\Nls\Locale, pid=3532,status=0, tid=4324) 563220:28:17.286000 2 taskmgr.exe (3532) – RegOpenKey(hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\Software\Microsoft\DirectUI, pid=3532,status=3221225524, tid=4324) 563320:28:17.288000 2 taskmgr.exe (3532) – CreateFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll,file_type=REPARSE_POINT, operation=OPEN, share_mask=rwd, tid=4324) 563420:28:17.288000 2 taskmgr.exe (3532) – CloseFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, tid=4324) 563520:28:17.288000 2 taskmgr.exe (3532) – CreateFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, file_type=FILE,operation=OPEN, share_mask=r-d, tid=4324) 563620:28:17.288000 2 taskmgr.exe (3531) – LoadImage (base=0x7fefab90000,checksum=204498, image=xmllite.dll, path=\Windows\System32\xmllite.dll,pid=3532, size=217088) 563720:28:17.288000 2 taskmgr.exe (3532) – CloseFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, tid=4324) 563820:28:17.300000 2 taskmgr.exe (3532) – RegQueryKey (hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\, pid=3532, status=0, tid=4324) 563920:28:17.300000 2 taskmgr.exe (3532) – RegOpenKey(hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\SOFTWARE\Microsoft\CTF\KnownClasses,pid=3532, status=3221225524, tid=4324) 564020:28:17.300000 3 taskmgr.exe (3532) – RegQueryKey(hive=REGISTRY\MACHINE\SYSTEM, key=ControlSet001\Control\Nls\Locale\, pid=3532,status=0, tid=4324) 564120:28:17.300000 3 taskmgr.exe (3532) – RegOpenKey (hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\SOFTWARE\Microsoft\CTF\KnownClasses,pid=3532, status=3221225524, tid=4324) 564220:28:17.302000 2 taskmgr.exe (3532) – UnloadImage (base=0x7fefab90000,checksum=204498, image=xmllite.dll, path=\Windows\System32\xmllite.dll,pid=3532, size=212.0)

小心:按下Ctrl+C即可停息Fibratus运转。

   项目地方

Fibratus:【GitHub传送门】

   参考文档

【Wiki传送门】

标题:Fibratus:一款效用强壮的Windows内核缺点诈欺和跟踪器械

分类:脚本编程

链接:https://www.seozhan.cn/30514.html

版权:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至503806699@qq.com 举报,一经查实,本站将立刻删除

相关文章

评论 暂无评论