- ETW vam omogoča zajemanje dogodkov operacijskega sistema in aplikacij, tako v uporabniškem prostoru kot v jedru, in je ključnega pomena za odpravljanje napak in analizo delovanja.
- Obstaja več vrst ponudnikov ETW, kot so MOF, WPP, ponudniki na osnovi manifesta ali TraceLogging, vsak s svojo strukturo in kompleksnostjo.
- Z ETW je mogoče delati z orodji, kot so logman, wpr in PerfView, ki so idealna za sprožanje sej sledenja, zajemanje podatkov in njihovo analizo.
- ETW je bistvenega pomena za rešitve EDR/XDR in forenzične preiskave, saj lahko izvleče pomnilniške dogodke, tudi če napadalec izbriše datoteke.
Sledenje dogodkom za Windows (ETW) Je eno najmočnejših orodij, ki pa je hkrati tudi neznano mnogim razvijalcem in varnostnim strokovnjakom v Microsoftovih okoljih. Ta sistem omogoča spremljanje, zajemanje in analiziranje dogodkov, ki jih ustvarijo operacijski sistem in aplikacije, tako v uporabniškem kot v jedrnem načinu.
ETW, ki se uporablja tako za napredno odpravljanje napak kot za forenzično analizo ali odkrivanje groženj, zagotavlja poglobljen vpogled v dogajanje na sistemski ravni, z minimalnim vplivom na delovanje. V tem članku si bomo podrobno ogledali, kako deluje ETW, katera orodja uporabiti, kako ga konfigurirati, katere vrste podatkov je mogoče pridobiti in kako ga izkoristiti v različnih okoljih, kot je .NET. PowerShell ali celo forenzično po spominu.
Kaj je ETW in zakaj je tako močan?
Sledenje dogodkom za Windows je sistem za sledenje dogodkom, vgrajen v jedro sistema Windows.Zasnovan je bil tako, da razvijalcem in skrbnikom omogoča snemanje in uporabo tokov dogodkov v realnem času ali iz dnevniških datotek (.etl). ETW je izjemno vsestranski, saj ga lahko uporabljajo:
- Aplikacije uporabniškega načina, napisane predvsem v jeziku C ali C++
- Gonilniki jedra
- EDR in protivirusni sistemi
- Analitiki učinkovitosti delovanja ali varnosti
Deluje po modelu, ki temelji na treh ključnih vlogah: the ponudniki (ki ustvarjajo dogodke), krmilniki (ki konfigurirajo in nadzorujejo seje sledenja) in potrošniki (ki so brali dogodke).
Bistvene komponente ekosistema ETW
Operativni model ETW se vrti okoli več arhitekturnih elementov, ki omogočajo jasno ločitev med generatorjem dogodkov in porabnikom dogodkov:
1. Ponudniki ali dobavitelji
To so komponente sistema ali aplikacij, ki oddajajo dogodke. Obstajajo različne vrste:
- Ponudniki s sedežem v MOFUporabljajo format upravljanih objektov. Imajo bolj zapleteno strukturo in se ne uporabljajo več.
- Ponudniki vetrnih elektrarn: uporablja se predvsem v gonilnikih za odpravljanje napak.
- Ponudniki, ki temeljijo na manifestih: danes najpogostejši. Uporabljajo manifest XML, ki definira strukturo dogodka.
- Ponudniki sledenja: preprostejša alternativa, združljiva s sodobnimi aplikacijami.
2. Krmilniki ali upravljavci
Odgovorni so za zagon, zaustavitev ali konfiguriranje sej sledenja. Na primer, orodje, kot je Logman Deluje kot krmilnik, ki vam omogoča konfiguriranje, kateri ponudniki so aktivirani in kam so zapisani dogodki.
3. Potrošniki
To so aplikacije ali skripte, ki berejo dogodke, bodisi v realnem času bodisi prek datotek .etl. Nekaj znanih primerov je:
- Pregledovalnik dogodkov (pregledovalnik dogodkov sistema Windows)
- Analizator učinkovitosti delovanja sistema Windows (WPA)
- Pogled zmogljivosti
- Sistemi EDR, kot je Microsoft Defender za končne točke
Za kaj se uporablja ETW?
ETW se v Microsoftovem ekosistemu pogosto uporablja, od internih procesov do rešitev za podjetja. Nekateri scenariji vključujejo:
- Odpravljanje napak v aplikacijah v realnem času
- Spremljanje delovanja (CPU, IO, omrežje…)
- Odpravljanje napak gonilnikov v načinu jedra
- Preprečevanje in odkrivanje groženj z EDR/XDR
- Digitalna forenzična preiskava
Kako komunicirati z ETW: praktična orodja
Obstaja več orodij, ki vam omogočajo delo z ETW z različnih zornih kotov:
Logman.exe
Orodje na vrstico ukazi Vključen je v sistem Windows in za izvajanje številnih operacij ne potrebuje skrbniških pravic. Omogoča vam seznam razpoložljivih ponudnikov, aktivnih sej in konfiguriranje novih sej:
logman query providers
: navaja vse ponudnike ETWlogman start miSesion -p {GUID} -o c:\logs\miSesion.etl -ets
: Začnite sejo sledenjalogman stop miSesion -ets
: ustavi sejo
WPR.exe in WPA.exe
Snemalnik učinkovitosti delovanja sistema Windows (WPR) se uporablja za začetek ali konec sej sledenja in Analizator učinkovitosti delovanja sistema Windows (WPA) omogoča vizualno analizo. Njegova uporaba je pogosta v naprednih razvojnih ali razhroščevalnih okoljih:
wpr -start CPU -start FileIO -start DiskIO
wpr -stop resultado.etl
Pogled zmogljivosti
Orodje, ki ga je razvil Microsoft za napredno analizo delovanja. Ustvari sledi, jih združi po asinhronih vzorcih in poenostavi kompleksno odpravljanje napak. Omogoča tudi krožno zajemanje sej, da se prepreči preobremenitev diska:
perfview -ThreadTime -CircularMB:500 -LogFile:salida.log -Merge:true collect
Ustvarjene datoteke (.etl in .etl.ngenpdb) je mogoče odpreti neposredno v WPA.
Razumevanje manifestov ETW
P ponudniki na osnovi manifesta definirajo vse svoje dogodke prek datoteke XML. Ta manifest vključuje informacije, kot so:
- Ponudnik: ime, GUID in datoteke virov
- Kanali: izhodni kanal (npr. aplikacija, sistem)
- Ravni: stopnja resnosti dogodka (kritično, napaka, podrobno…)
- Naloge in operacijske kode: združevanje dogodkov po nalogi in vrsti operacije
- ključne besede: filtri po kategorijah dogodkov
- Zemljevidi: preslikava kod v berljivo besedilo
- Predloge: definirajte strukturo podatkov, vključenih v dogodke
- Dogodki: definirajte vsak dogodek z njegovim ID-jem, nalogo, opcode, nivojem in predlogo
Zajem in analiza sledi ETW
Ko je sled (datoteka .etl) zajeta, jo je mogoče pretvoriti v druge oblike ali neposredno analizirati:
tracerpt archivo.etl -o archivo.xml
izvoz v XMLtracerpt archivo.etl -o archivo.evtx -of EVTX
: pretvori v obliko pregledovalnika dogodkovxperf -i archivo.etl -o archivo.csv
: izpis v CSV
Možno je tudi izvajanje ogledov v živo z Pogled zmogljivosti ali pa definirajte samodejne seje iz škorenj uporabo autologger
:
wpr -boottrace -addboot FileIO
.NET in ETW
V .NET lahko izkoristite API Obdelava sledenja za obdelavo dogodkov, ki jih ustvarijo aplikacije ali komponente. Na voljo je kot paket NuGet in ga uporabljajo celo Microsoftovi inženirji.
Primeri varnostne uporabe: EDR/XDR in lov na grožnje
ETW je temelj rešitev za zgodnje odkrivanje in odzivanje (EDR/XDR). Tesno se integrira s sistemom in omogoča odkrivanje vedenj, kot so:
- Ustvarjanje sumljivih procesov
- Spremembe registra
- Nenavaden omrežni promet
- Dostop do kritičnih sistemskih virov
Na primer, mogoče je prepoznati tehnike, kot so DCSync z uporabo ponudnikov, ki poročajo o replikaciji krmilnika domene.
Forenzična analiza z ETW
Napredne raziskave celo omogočajo pridobivanje dogodkov ETW iz RAM-a Če jih je napadalec izbrisal z diska. To doseže z dostopom do notranjih struktur, kot so:
- _WMI_LOGGER_CONTEXT: vsebuje sezname, kot sta GlobalList ali BufferQueue
- _ETW_REALTIME_CONSUMER: omogoča dostop do UserBufferListHead
Orodja, kot so Vtičnik JPCERT Volatility3 To vam omogoča, da te sledi obnovite in analizirate neposredno iz izpisov RAM-a. Nato jih je mogoče obdelati s tracefmt ali WPA za identifikacijo dostopa do DNS-a, omrežnega prometa, blokiranih groženj in drugega.
Ta sistem ponuja a celovit pregled operacijskega sistema in aplikacijskih plasti, kar vam omogoča predvidevanje težav, optimizacijo virov in odkrivanje anomalij. Čeprav ima strmo krivuljo učenja, obvladovanje orodij in struktur, ki jih vsebuje, zagotavlja edinstveno prednost v sodobnih okoljih Windows.
Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.