基于Windows事件追踪的RPC监控工具

一个通过Event Tracing for Windows（ETW）扫描RPC通信的GUI工具。该工具是作为主机和Windows容器之间的RPC通信研究的一部分发布的。

概述

RPCMon可以帮助研究人员获得进程间RPC通信的高层次视图。为了便于使用，它像Procmon一样建立，并使用James Forshaw .NET库进行RPC。RPCMon可以显示被调用的RPC函数、调用它们的进程以及其他相关信息。
RPCMon使用一个硬编码的RPC字典来快速处理RPC信息，其中包含了RPC模块的信息。它也有一个建立RPC数据库的选项，这样在硬编码的RPC字典中缺少某些细节的情况下，它将从你的计算机中更新。

项目地址

https://github.com/cyberark/RPCMon

使用方法

双击EXE二进制文件，你会得到GUI窗口。
RPCMon需要一个数据库来获取RPC功能的细节，如果没有数据库，你就会缺少信息。
要加载数据库，按DB -> Load DB...并选择你的数据库。你可以使用我们添加到这个项目中的一个数据库。/DB/RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json.

功能介绍

• 对RPC功能活动的详细概述。
• 建立一个RPC数据库来解析RPC模块或使用硬编码数据库。
• 基于单元格的行过滤/强调。
• 加粗特定的行。

演示视频

 

标签：工具分享, 主机安全