Kako uporabljati sledenje dogodkov za Windows (ETW)

Zadnja posodobitev: 30/06/2025
Avtor: Isaac
  • ETW vam omogoča zajemanje dogodkov operacijskega sistema in aplikacij, tako v uporabniškem prostoru kot v jedru, in je ključnega pomena za odpravljanje napak in analizo delovanja.
  • Obstaja več vrst ponudnikov ETW, kot so MOF, WPP, ponudniki na osnovi manifesta ali TraceLogging, vsak s svojo strukturo in kompleksnostjo.
  • Z ETW je mogoče delati z orodji, kot so logman, wpr in PerfView, ki so idealna za sprožanje sej sledenja, zajemanje podatkov in njihovo analizo.
  • ETW je bistvenega pomena za rešitve EDR/XDR in forenzične preiskave, saj lahko izvleče pomnilniške dogodke, tudi če napadalec izbriše datoteke.

Sledenje dogodkom za Windows

Sledenje dogodkom za Windows (ETW) Je eno najmočnejših orodij, ki pa je hkrati tudi neznano mnogim razvijalcem in varnostnim strokovnjakom v Microsoftovih okoljih. Ta sistem omogoča spremljanje, zajemanje in analiziranje dogodkov, ki jih ustvarijo operacijski sistem in aplikacije, tako v uporabniškem kot v jedrnem načinu.

ETW, ki se uporablja tako za napredno odpravljanje napak kot za forenzično analizo ali odkrivanje groženj, zagotavlja poglobljen vpogled v dogajanje na sistemski ravni, z minimalnim vplivom na delovanje. V tem članku si bomo podrobno ogledali, kako deluje ETW, katera orodja uporabiti, kako ga konfigurirati, katere vrste podatkov je mogoče pridobiti in kako ga izkoristiti v različnih okoljih, kot je .NET. PowerShell ali celo forenzično po spominu.

Kaj je ETW in zakaj je tako močan?

Sledenje dogodkom za Windows je sistem za sledenje dogodkom, vgrajen v jedro sistema Windows.Zasnovan je bil tako, da razvijalcem in skrbnikom omogoča snemanje in uporabo tokov dogodkov v realnem času ali iz dnevniških datotek (.etl). ETW je izjemno vsestranski, saj ga lahko uporabljajo:

  • Aplikacije uporabniškega načina, napisane predvsem v jeziku C ali C++
  • Gonilniki jedra
  • EDR in protivirusni sistemi
  • Analitiki učinkovitosti delovanja ali varnosti

Deluje po modelu, ki temelji na treh ključnih vlogah: the ponudniki (ki ustvarjajo dogodke), krmilniki (ki konfigurirajo in nadzorujejo seje sledenja) in potrošniki (ki so brali dogodke).

Bistvene komponente ekosistema ETW

Sledenje dogodkom za Windows

Operativni model ETW se vrti okoli več arhitekturnih elementov, ki omogočajo jasno ločitev med generatorjem dogodkov in porabnikom dogodkov:

  Ugotovite, kako deliti fotografije iCloud z drugimi

1. Ponudniki ali dobavitelji

To so komponente sistema ali aplikacij, ki oddajajo dogodke. Obstajajo različne vrste:

  • Ponudniki s sedežem v MOFUporabljajo format upravljanih objektov. Imajo bolj zapleteno strukturo in se ne uporabljajo več.
  • Ponudniki vetrnih elektrarn: uporablja se predvsem v gonilnikih za odpravljanje napak.
  • Ponudniki, ki temeljijo na manifestih: danes najpogostejši. Uporabljajo manifest XML, ki definira strukturo dogodka.
  • Ponudniki sledenja: preprostejša alternativa, združljiva s sodobnimi aplikacijami.

2. Krmilniki ali upravljavci

Odgovorni so za zagon, zaustavitev ali konfiguriranje sej sledenja. Na primer, orodje, kot je Logman Deluje kot krmilnik, ki vam omogoča konfiguriranje, kateri ponudniki so aktivirani in kam so zapisani dogodki.

3. Potrošniki

To so aplikacije ali skripte, ki berejo dogodke, bodisi v realnem času bodisi prek datotek .etl. Nekaj ​​znanih primerov je:

  • Pregledovalnik dogodkov (pregledovalnik dogodkov sistema Windows)
  • Analizator učinkovitosti delovanja sistema Windows (WPA)
  • Pogled zmogljivosti
  • Sistemi EDR, kot je Microsoft Defender za končne točke

Za kaj se uporablja ETW?

ETW se v Microsoftovem ekosistemu pogosto uporablja, od internih procesov do rešitev za podjetja. Nekateri scenariji vključujejo:

  • Odpravljanje napak v aplikacijah v realnem času
  • Spremljanje delovanja (CPU, IO, omrežje…)
  • Odpravljanje napak gonilnikov v načinu jedra
  • Preprečevanje in odkrivanje groženj z EDR/XDR
  • Digitalna forenzična preiskava

Kako komunicirati z ETW: praktična orodja

Obstaja več orodij, ki vam omogočajo delo z ETW z različnih zornih kotov:

Logman.exe

Orodje na vrstico ukazi Vključen je v sistem Windows in za izvajanje številnih operacij ne potrebuje skrbniških pravic. Omogoča vam seznam razpoložljivih ponudnikov, aktivnih sej in konfiguriranje novih sej:

  • logman query providers: navaja vse ponudnike ETW
  • logman start miSesion -p {GUID} -o c:\logs\miSesion.etl -ets: Začnite sejo sledenja
  • logman stop miSesion -ets: ustavi sejo

WPR.exe in WPA.exe

Snemalnik učinkovitosti delovanja sistema Windows (WPR) se uporablja za začetek ali konec sej sledenja in Analizator učinkovitosti delovanja sistema Windows (WPA) omogoča vizualno analizo. Njegova uporaba je pogosta v naprednih razvojnih ali razhroščevalnih okoljih:

  • wpr -start CPU -start FileIO -start DiskIO
  • wpr -stop resultado.etl

Pogled zmogljivosti

Orodje, ki ga je razvil Microsoft za napredno analizo delovanja. Ustvari sledi, jih združi po asinhronih vzorcih in poenostavi kompleksno odpravljanje napak. Omogoča tudi krožno zajemanje sej, da se prepreči preobremenitev diska:

perfview -ThreadTime -CircularMB:500 -LogFile:salida.log -Merge:true collect

Ustvarjene datoteke (.etl in .etl.ngenpdb) je mogoče odpreti neposredno v WPA.

  Kaj pomenita 359 in 399 na TikToku? Podrobna razlaga

Razumevanje manifestov ETW

P ponudniki na osnovi manifesta definirajo vse svoje dogodke prek datoteke XML. Ta manifest vključuje informacije, kot so:

  • Ponudnik: ime, GUID in datoteke virov
  • Kanali: izhodni kanal (npr. aplikacija, sistem)
  • Ravni: stopnja resnosti dogodka (kritično, napaka, podrobno…)
  • Naloge in operacijske kode: združevanje dogodkov po nalogi in vrsti operacije
  • ključne besede: filtri po kategorijah dogodkov
  • Zemljevidi: preslikava kod v berljivo besedilo
  • Predloge: definirajte strukturo podatkov, vključenih v dogodke
  • Dogodki: definirajte vsak dogodek z njegovim ID-jem, nalogo, opcode, nivojem in predlogo

Zajem in analiza sledi ETW

Ko je sled (datoteka .etl) zajeta, jo je mogoče pretvoriti v druge oblike ali neposredno analizirati:

  • tracerpt archivo.etl -o archivo.xmlizvoz v XML
  • tracerpt archivo.etl -o archivo.evtx -of EVTX: pretvori v obliko pregledovalnika dogodkov
  • xperf -i archivo.etl -o archivo.csv: izpis v CSV

Možno je tudi izvajanje ogledov v živo z Pogled zmogljivosti ali pa definirajte samodejne seje iz škorenj uporabo autologger:

wpr -boottrace -addboot FileIO
Omogočite ali onemogočite skrite funkcije sistema Windows z regedit-3
Povezani članek:
Kako omogočiti ali onemogočiti skrite funkcije sistema Windows z uporabo programa Regedit: popoln vodnik in napredni triki

.NET in ETW

V .NET lahko izkoristite API Obdelava sledenja za obdelavo dogodkov, ki jih ustvarijo aplikacije ali komponente. Na voljo je kot paket NuGet in ga uporabljajo celo Microsoftovi inženirji.

Primeri varnostne uporabe: EDR/XDR in lov na grožnje

ETW je temelj rešitev za zgodnje odkrivanje in odzivanje (EDR/XDR). Tesno se integrira s sistemom in omogoča odkrivanje vedenj, kot so:

  • Ustvarjanje sumljivih procesov
  • Spremembe registra
  • Nenavaden omrežni promet
  • Dostop do kritičnih sistemskih virov

Na primer, mogoče je prepoznati tehnike, kot so DCSync z uporabo ponudnikov, ki poročajo o replikaciji krmilnika domene.

Forenzična analiza z ETW

Napredne raziskave celo omogočajo pridobivanje dogodkov ETW iz RAM-a Če jih je napadalec izbrisal z diska. To doseže z dostopom do notranjih struktur, kot so:

  • _WMI_LOGGER_CONTEXT: vsebuje sezname, kot sta GlobalList ali BufferQueue
  • _ETW_REALTIME_CONSUMER: omogoča dostop do UserBufferListHead
  Metode za popravljanje telefona Android, ki je obstal v varnem načinu

Orodja, kot so Vtičnik JPCERT Volatility3 To vam omogoča, da te sledi obnovite in analizirate neposredno iz izpisov RAM-a. Nato jih je mogoče obdelati s tracefmt ali WPA za identifikacijo dostopa do DNS-a, omrežnega prometa, blokiranih groženj in drugega.

Ta sistem ponuja a celovit pregled operacijskega sistema in aplikacijskih plasti, kar vam omogoča predvidevanje težav, optimizacijo virov in odkrivanje anomalij. Čeprav ima strmo krivuljo učenja, obvladovanje orodij in struktur, ki jih vsebuje, zagotavlja edinstveno prednost v sodobnih okoljih Windows.

Razlike med klasičnim in izboljšanim iskanjem v sistemu Windows 11-0
Povezani članek:
Klasično iskanje v primerjavi z izboljšanim iskanjem v sistemu Windows 11: ključne razlike in kako jih kar najbolje izkoristiti

Pustite komentar