cyberark/RPCMon
GitHub: cyberark/RPCMon
基于 ETW 的 Windows RPC 通信实时监控 GUI 工具,帮助安全研究人员宏观洞察进程间 RPC 调用行为与函数详情。
Stars: 392 | Forks: 43
[][release]
[][license]
A GUI tool for scanning RPC communication through Event Tracing for Windows (ETW).
The tool was published as part of a research on RPC communication between the host and a Windows container.
## 概述
RPCMon 可以帮助研究人员从宏观层面了解进程间的 RPC 通信。为了易于使用,它的构建方式类似于 Procmon,并使用了 James Forshaw 的 RPC .NET 库。RPCMon 可以向您展示正在被调用的 RPC 函数、调用这些函数的进程以及其他相关信息。
RPCMon 使用硬编码的 RPC 字典来快速处理 RPC 信息,其中包含有关 RPC 模块的信息。它还提供了一个构建 RPC 数据库的选项,以便从您的计算机中更新信息,以防硬编码的 RPC 字典中缺少某些详细信息。
## 使用说明
以**管理员权限**(“以管理员身份运行”)双击 EXE 二进制文件,您将看到 GUI 窗口。
RPCMon 需要一个 DB 才能获取 RPC 函数的详细信息,如果没有 DB,您将会看到缺失的信息。
要加载 DB,请点击 `DB -> Load DB...` 并选择您的 DB。您可以使用我们添加到该项目中的 DB:`/DB/RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json`。
## 构建
从 GitHub 下载时,您可能会遇到文件被阻止的错误,您可以使用 PowerShell 来解除阻止:
```
Get-ChildItem -Path 'D:\tmp\PipeViewer-main' -Recurse | Unblock-File
```
## 功能特性
* 详细查看 RPC 函数的活动情况。
* 构建 RPC 数据库以解析 RPC 模块,或使用硬编码的数据库。
* 基于单元格筛选/高亮显示行。
* 加粗特定行。
## 演示
https://user-images.githubusercontent.com/11998736/165285471-e143eebd-bfbf-49a2-8e70-107f083c60fc.mp4
## 许可证
Copyright (c) 2022 CyberArk Software Ltd. All rights reserved
本仓库基于 Apache-2.0 许可证授权 - 详见 [`LICENSE`](LICENSE)。
## 参考:
如需更多评论、建议或问题,您可以联系 Eviatar Gerzi ([@g3rzi](https://twitter.com/g3rzi)) 和 CyberArk 实验室。
A GUI tool for scanning RPC communication through Event Tracing for Windows (ETW).
The tool was published as part of a research on RPC communication between the host and a Windows container.
## 概述
RPCMon 可以帮助研究人员从宏观层面了解进程间的 RPC 通信。为了易于使用,它的构建方式类似于 Procmon,并使用了 James Forshaw 的 RPC .NET 库。RPCMon 可以向您展示正在被调用的 RPC 函数、调用这些函数的进程以及其他相关信息。
RPCMon 使用硬编码的 RPC 字典来快速处理 RPC 信息,其中包含有关 RPC 模块的信息。它还提供了一个构建 RPC 数据库的选项,以便从您的计算机中更新信息,以防硬编码的 RPC 字典中缺少某些详细信息。
## 使用说明
以**管理员权限**(“以管理员身份运行”)双击 EXE 二进制文件,您将看到 GUI 窗口。
RPCMon 需要一个 DB 才能获取 RPC 函数的详细信息,如果没有 DB,您将会看到缺失的信息。
要加载 DB,请点击 `DB -> Load DB...` 并选择您的 DB。您可以使用我们添加到该项目中的 DB:`/DB/RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json`。
## 构建
从 GitHub 下载时,您可能会遇到文件被阻止的错误,您可以使用 PowerShell 来解除阻止:
```
Get-ChildItem -Path 'D:\tmp\PipeViewer-main' -Recurse | Unblock-File
```
## 功能特性
* 详细查看 RPC 函数的活动情况。
* 构建 RPC 数据库以解析 RPC 模块,或使用硬编码的数据库。
* 基于单元格筛选/高亮显示行。
* 加粗特定行。
## 演示
https://user-images.githubusercontent.com/11998736/165285471-e143eebd-bfbf-49a2-8e70-107f083c60fc.mp4
## 许可证
Copyright (c) 2022 CyberArk Software Ltd. All rights reserved
本仓库基于 Apache-2.0 许可证授权 - 详见 [`LICENSE`](LICENSE)。
## 参考:
如需更多评论、建议或问题,您可以联系 Eviatar Gerzi ([@g3rzi](https://twitter.com/g3rzi)) 和 CyberArk 实验室。
标签:AMSI绕过, Awesome, CyberArk, ETW, GUI工具, Procmon类似工具, RPCMon, RPC监控, Windows容器, 事件跟踪, 多人体追踪, 威胁检测, 数据库构建, 系统管理, 系统行为分析, 网络安全, 进程通信, 逆向分析, 防御规避检测, 隐私保护