Windows事件追踪(ETW)资源
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/nasbench/EVTX-ETW-Resources
EVTX/ETW 资源
这是一个包含大量资源的存储库,用于学习和理解 EVTX/ETW(Windows 事件跟踪)
内容
结构
- ETW Providers Manifests - 来自不同版本的 Windows 的 ETW XML 清单列表。
- 示例- 使用不同库收集 ETW 事件的示例脚本。
- ETW 事件列表- 从当前转储的 ETW 提供程序中提取的所有 ETW 事件的列表。
- ETW 提供商 CSV - 包含每个可用 ETW 提供商的 CSV 的列表。每个 CSV 在所有版本的 Windows 中都包含该特定提供程序的所有可用事件。
博客/研究 ( https://nasbench.medium.com/ )
工具
以下是可以让我们与可用的不同 ETW 提供程序进行交互的工具列表。示例目录包含有关如何使用这些工具的示例脚本和命令
与 ETW 交互
转储 ETW 提供商清单
使用 ETW 编写脚本(检测、数字取证)
在线资源
以下是更广泛的安全社区发布的讨论 ETW 各个方面的博客和文章
建筑学
- 事件跟踪:Microsoft 使用 ETW 改进调试和性能调整
- 关于 Microsoft 的事件跟踪
- 第 1 部分 - Microsoft 的 ETW 介绍和概述
- 第 2 部分 - 使用 Microsoft 的事件日志通道探索和解码 ETW 提供程序
- 第 3 部分 - Microsoft 的 ETW 跟踪方法
- ETW:Windows 101 的事件跟踪
- ETW:Windows 事件跟踪,第 1 部分:Mozilla 介绍
- ETW:Windows 事件跟踪,第 2 部分:Mozilla 的现场报告
- ETW:Windows 事件跟踪,第 3 部分:Mozilla 的架构
- ETW:Windows 事件跟踪,第 4 部分:Mozilla 收集
- Geoff Chappell 的 ETW 安全性
- 编写检测清单
研究
- 篡改 Windows 事件跟踪:Palantir 的背景、攻击和防御
- 威胁情报 ETW 简介
- 使用 ETW 检测进程注入
- 试验受保护的进程和威胁情报
- 绕过 Microsoft-Windows-Threat-Intelligence 内核 APC 注入传感器
- 使用 WPP 和 TraceLogging 的数据源分析和动态 Windows RE
- 检测父 PID 欺骗
- Veni,No Vidi,No Vici:对 ETW 盲 EDR 传感器的攻击
会谈
- T208 Hidden Treasure 使用 ETW Zac Brown 检测入侵 - Derbycon 7
- T208 Hidden Treasure 使用 ETW Zac Brown 检测入侵 - GrrCON 2017
- RECON 2019 - 使用 WPP 和 TraceLogging 跟踪 (Matt Graeber)
- S25 使用 ETW 跟踪对手检测攻击 Matt Hastings Dave Hull - Derbycon 7
- 好的、坏的和 ETW (Grzegorz Tworek)
图书
其他带有 ETW 内容的 Github 项目
贡献
如果你想为这个项目做出贡献,只需按照以下步骤操作:
- 下载最新版本的WEPExplorer
- 下载最新版本的Auto Keyboard Presser
- 按照下面 GIF 中的步骤操作
- 分叉回购并上传您的文件
- 进行公关并获得我们永恒的感谢
标签:工具分享, 主机安全