中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Winshark是一款什么插件

發布時間:2021-12-24 17:21:05 來源:億速云 閱讀:212 作者:小新 欄目:網絡管理

這篇文章給大家分享的是有關Winshark是一款什么插件的內容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。

Winshark

Winshark是一款用于控制ETW的Wireshark插件,ETW(Event Tracing for Windows)提供了一種對用戶層應用程序和內核層驅動創建的事件對象的跟蹤記錄機制。為開發者提供了一套快速、可靠、通用的一系列事件跟蹤特性。Microsoft Message Analyzer早就已經過時了,而且它的下載包早在2019年11月25日也被微軟從其官網上移除了。Wireshark建立了一個龐大的網絡協議剖析器工具庫,為了幫助廣大研究人員更好地收集和分析各種類型的網絡日志,Winshark便應運而生。

Winshark基于libpcap作為后端來捕捉ETW(Event Tracing for Windows),并且提供了一個生成器來在設備上為已知ETW生成所有的解析器。除此之外,我們害廷加了Tracelogging支持來覆蓋絕大多數的Windows操作系統日志技術。

在Winshark以及Windows系統強大功能的幫助下,我們可以在同一工具下捕捉網絡和事件日志。

在工具使用方面,Winshark的誕生有著重要意義:

  • 支持混合所有類型的事件,包括網絡事件和系統事件;

  • 支持針對事件日志使用Wireshark過濾功能;

  • 支持通過進程ID來跟蹤網絡和系統日志;

  • 支持捕捉pacp文件中的Windows日志和網絡痕跡;

  • 通過NpEtw文件系統過濾驅動器捕捉命名管道;

工具安裝

在使用Winshark之前,請先安裝Wireshark。

現在,你需要讓Wireshark將DLT_USER 147解釋為ETW,這是因為我們在使用之前還沒有從libpcap獲取到真實的值,之后我們才能發送一個pull請求來獲取到專門的DLT值。在這里,我們需要打開Edit控制面板中的Preferences標簽頁,選擇Protocols設置下的DLT_USER,然后點擊Edit并填寫完對話框中的信息:

Winshark是一款什么插件

接下來,將etw值設置為DLT = 147:

Winshark是一款什么插件

工具構建

Winshark由cmake驅動,工具的構建配置命令如下:

git clone https://github.com/airbus-cert/winshark --recursive

mkdir build_winshark

cd build_winshark

cmake ..\Winshark

cmake --build . --target package --config release

捕捉網絡流量

為了使用Winshark來捕捉網絡流量,我們需要通過netsh來激活網絡追蹤功能:

netsh.exe trace start capture=yes report=no correlation=no

接下來,創建一個跟Microsoft-Windows-NDIS-PacketCapture供應器綁定的ETW會話:

logman start Winshark-PacketCapture -p "Microsoft-Windows-NDIS-PacketCapture" -rt -ets

然后使用管理員權限啟動Wireshark,并選擇Winshark-PacketCapture接口:

Winshark是一款什么插件

接下來,我們就可以開始捕捉網絡數據包了:

Winshark是一款什么插件

基于進程ID過濾

ETW利用每個數據包的Header來進行數據包標記,而Header中總會包含關于數據發送方的某些元數據,其中一個就是發送工具的進程ID。我們可以使用下列語句來配置Wireshark的過濾功能:

etw.header.ProcessId == 1234

Winshark是一款什么插件

捕捉命名管道

安裝

首先,我們需要使用下列命令通過測試模式下的驅動器簽名檢測:

bcdedit /set testsigning on

接下來,安裝NpEtwSetup.msi,然后重啟設備。

然后使用管理員權限運行“C:\Program Files\Wireshark\WinsharkUpdate.bat”來更新Winshark解析器。

命名管道捕捉

首先,使用管理員權限打開一個cmd.exe命令行窗口,然后使用下列命令開啟驅動器:

sc start NpEtw

接下來,創建一個ETW會話:

logman start namedpipe -p NpEtw -ets -rt

現在,打開Wireshark,然后選擇namedpipe會話即可。

Winshark是一款什么插件

感謝各位的閱讀!關于“Winshark是一款什么插件”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

神农架林区| 大城县| 柞水县| 麻江县| 钟祥市| 石泉县| 文山县| 北海市| 梧州市| 贵阳市| 广宁县| 武强县| 西贡区| 马山县| 黎城县| 延川县| 乡宁县| 金川县| 本溪| 浠水县| 策勒县| 阿荣旗| 惠州市| 千阳县| 赤城县| 建昌县| 阳新县| 田阳县| 孝昌县| 扎赉特旗| 孟州市| 钟祥市| 阳城县| 平泉县| 志丹县| 桑植县| 巴彦淖尔市| 额尔古纳市| 台东县| 岳阳县| 台北县|