Winshark是一款什么插件

這篇文章給大家分享的是有關(guān)Winshark是一款什么插件的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

Winshark

Winshark是一款用于控制ETW的Wireshark插件，ETW（Event Tracing for Windows）提供了一種對用戶層應(yīng)用程序和內(nèi)核層驅(qū)動創(chuàng)建的事件對象的跟蹤記錄機(jī)制。為開發(fā)者提供了一套快速、可靠、通用的一系列事件跟蹤特性。Microsoft Message Analyzer早就已經(jīng)過時了，而且它的下載包早在2019年11月25日也被微軟從其官網(wǎng)上移除了。Wireshark建立了一個龐大的網(wǎng)絡(luò)協(xié)議剖析器工具庫，為了幫助廣大研究人員更好地收集和分析各種類型的網(wǎng)絡(luò)日志，Winshark便應(yīng)運(yùn)而生。

Winshark基于libpcap作為后端來捕捉ETW（Event Tracing for Windows），并且提供了一個生成器來在設(shè)備上為已知ETW生成所有的解析器。除此之外，我們害廷加了Tracelogging支持來覆蓋絕大多數(shù)的Windows操作系統(tǒng)日志技術(shù)。

在Winshark以及Windows系統(tǒng)強(qiáng)大功能的幫助下，我們可以在同一工具下捕捉網(wǎng)絡(luò)和事件日志。

在工具使用方面，Winshark的誕生有著重要意義：

• 支持混合所有類型的事件，包括網(wǎng)絡(luò)事件和系統(tǒng)事件；

• 支持針對事件日志使用Wireshark過濾功能；

• 支持通過進(jìn)程ID來跟蹤網(wǎng)絡(luò)和系統(tǒng)日志；

• 支持捕捉pacp文件中的Windows日志和網(wǎng)絡(luò)痕跡；

• 通過NpEtw文件系統(tǒng)過濾驅(qū)動器捕捉命名管道；

工具安裝

在使用Winshark之前，請先安裝Wireshark。

現(xiàn)在，你需要讓W(xué)ireshark將DLT_USER 147解釋為ETW，這是因為我們在使用之前還沒有從libpcap獲取到真實(shí)的值，之后我們才能發(fā)送一個pull請求來獲取到專門的DLT值。在這里，我們需要打開Edit控制面板中的Preferences標(biāo)簽頁，選擇Protocols設(shè)置下的DLT_USER，然后點(diǎn)擊Edit并填寫完對話框中的信息：

接下來，將etw值設(shè)置為DLT = 147：

工具構(gòu)建

Winshark由cmake驅(qū)動，工具的構(gòu)建配置命令如下：

git clone https://github.com/airbus-cert/winshark --recursive

mkdir build_winshark

cd build_winshark

cmake ..\Winshark

cmake --build . --target package --config release

捕捉網(wǎng)絡(luò)流量

為了使用Winshark來捕捉網(wǎng)絡(luò)流量，我們需要通過netsh來激活網(wǎng)絡(luò)追蹤功能：

netsh.exe trace start capture=yes report=no correlation=no

接下來，創(chuàng)建一個跟Microsoft-Windows-NDIS-PacketCapture供應(yīng)器綁定的ETW會話：

logman start Winshark-PacketCapture -p "Microsoft-Windows-NDIS-PacketCapture" -rt -ets

然后使用管理員權(quán)限啟動Wireshark，并選擇Winshark-PacketCapture接口：

接下來，我們就可以開始捕捉網(wǎng)絡(luò)數(shù)據(jù)包了：

基于進(jìn)程ID過濾

ETW利用每個數(shù)據(jù)包的Header來進(jìn)行數(shù)據(jù)包標(biāo)記，而Header中總會包含關(guān)于數(shù)據(jù)發(fā)送方的某些元數(shù)據(jù)，其中一個就是發(fā)送工具的進(jìn)程ID。我們可以使用下列語句來配置Wireshark的過濾功能：

etw.header.ProcessId == 1234

捕捉命名管道

安裝

首先，我們需要使用下列命令通過測試模式下的驅(qū)動器簽名檢測：

bcdedit /set testsigning on

接下來，安裝NpEtwSetup.msi，然后重啟設(shè)備。

然后使用管理員權(quán)限運(yùn)行“C:\Program Files\Wireshark\WinsharkUpdate.bat”來更新Winshark解析器。

命名管道捕捉

首先，使用管理員權(quán)限打開一個cmd.exe命令行窗口，然后使用下列命令開啟驅(qū)動器：

sc start NpEtw

接下來，創(chuàng)建一個ETW會話：

logman start namedpipe -p NpEtw -ets -rt

現(xiàn)在，打開Wireshark，然后選擇namedpipe會話即可。

感謝各位的閱讀！關(guān)于“Winshark是一款什么插件”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！