Sealighter是针对ETW(Event Tracing)和WPP(Windows PreProcessor Tracing)的安全研究工具,工具的帮助下,在ETW研究人员可以方便追踪和研究W和WPP。
Sealight利用了Krabs ETW库来启用事件过滤功能的丰富功能,对事件ETW和WPP进行分类。
输出,Sealighter 可以将事件解析为 JSON 格式,并输入到 Python、PowerShell、Splunk 或 ELK 中进行进一步分析。
1、支持订阅多个ETW和WPP服务实体;
2、自动将事件解析为JSON格式;
3、编写事件过滤器;
4、支持将数据输出到stdout、文件或Windows事件日志工具;
5、获取事件记录;
6、可配置将一个时间段内的多个事件缓冲到一个计数的事件中,以减少生成的事件数;
观察研究人员可以访问该项目的【发布】下载最新版本的Sealighter然后运行最新版本的C时环境。
传送门:https://docs.microsoft.com/en-US/cpp/windows/latest-supported-vc-redist?view=msvc-170
Sealighters 的配置文件将允许我们指定需要捕捉和记录的事件以及 ETW 会话,配置文件的数据结构使用 JSON,下面提供的是 JSON 配置示例:
{
“会话属性”:{
"session_name": "我的流程跟踪",
“输出格式”:“标准输出”,
“buffering_timout_seconds”:10
},
“用户跟踪”:[
{
"trace_name": "proc_trace",
"provider_name": "Microsoft-Windows-Kernel-Process",
"keywords_any": 16
},
{
"trace_name": "guid_trace",
"provider_name": "{382b5e24-181e-417f-a8d6-2155f749e724}",
"filters": {
"any_of": {
"opcode_is": [1, 2]
}
},
"buffers": [
{
"event_id": 1,
"max_before_buffering": 1,
"fields": [
"ImageName"
]
}
]
},
],
"kernel_traces": [
{
"trace_name": "kernel_proc_trace",
"provider_name": "进程",
}
]
}
以管理员权限运行“sealighter.exe”,并将JSON配置文件路径以参数形式传递给Sealighter:
sealighter.exe 路径\to\config.json
下面记录下的所有活动信息样例是:
{
“会话属性”:{
"session_name": "我的流程跟踪",
“输出格式”:“标准输出”
},
“用户跟踪”:[
{
"trace_name": "proc_trace",
"provider_name": "Microsoft-Windows-Kernel-Process",
“keywords_any”:16
}
]
}
将数据输出到Windows之前的事件日志,我们需要将数据输出到Windows之前的事件日志,我们需要将一些数据解析到事件中的事件日志中日志服务中。
此时需要从该项目的【发布页面】下载最新版本的sealighter_provider.man文件。
编辑器中打开直接下载的清单文件,然后使用完整的“sealighter.exe”替换其中的“!!SEALIGHTER_LOC!!”参数,然后在管理员权限运行的PowerShell或路径窗口中,中运行以下命令:
wevtutil im path/to/sealighter_provider.man
此时,在事件查看器UI界面的“Applications and Service Logs”选项中,我们将看到一个“Sealighter”文件夹以及日志记录。
我们还可以使用以下命令对报告进行验证:
(Get-WinEvent -LogName "Sealighter/Operational").Length
下列命令可以删除日志:
wevtutil um path/to/sealighter_provider.man
https://github.com/pathtofile/Sealighter
https://github.com/microsoft/krabsetw
https://github.com/jdu2600/Windows10EtwEvents
https://github.com/zodiacon/EtwExplorer
https://github.com/fireeye/SilkETW
https://github.com/pathtofile/Sealighter/blob/main/docs/COMPARISION.md
https://posts.specterops.io/data-source-analysis-and-dynamic-windows-re-using-wpp-and-tracelogging-e465f8b653f7
精彩推荐