文章/答案/技术大牛

发布

在ETW中，如何启用微软视窗内核进程的ProcessRundown事件？

在ETW中，要启用微软视窗内核进程的ProcessRundown事件，可以按照以下步骤进行操作：

首先，确保你的操作系统是Windows 8或更高版本，并且你拥有管理员权限。
打开命令提示符（CMD）或PowerShell，并以管理员身份运行。
使用以下命令启用ProcessRundown事件：
使用以下命令启用ProcessRundown事件：
这将更新内核跟踪会话，以启用ProcessRundown事件。
确保已启用内核跟踪会话。可以使用以下命令检查：
确保已启用内核跟踪会话。可以使用以下命令检查：
如果ProcessRundown事件已启用，你将在输出中看到类似以下内容：
如果ProcessRundown事件已启用，你将在输出中看到类似以下内容：
其中，{GUID}是事件跟踪会话的唯一标识符。
现在，你可以使用ETW工具（如tracerpt、logman等）来收集和分析ProcessRundown事件。
例如，使用tracerpt命令收集ProcessRundown事件并将其保存到名为"ProcessRundown.etl"的文件中：
例如，使用tracerpt命令收集ProcessRundown事件并将其保存到名为"ProcessRundown.etl"的文件中：
这将生成一个包含ProcessRundown事件的ETL文件，你可以使用其他工具（如Windows Performance Analyzer）来分析该文件。

请注意，以上步骤是针对微软视窗内核进程的ProcessRundown事件的启用。在实际应用中，你可能需要根据具体需求和环境进行适当的调整和配置。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Winshark：一款用于控制ETW的Wireshark插件

Winshark Winshark是一款用于控制ETW的Wireshark插件，ETW（Event Tracing for Windows）提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制...为开发者提供了一套快速、可靠、通用的一系列事件跟踪特性。Microsoft Message Analyzer早就已经过时了，而且它的下载包早在2019年11月25日也被微软从其官网上移除了。...在工具使用方面，Winshark的诞生有着重要意义：支持混合所有类型的事件，包括网络事件和系统事件；支持针对事件日志使用Wireshark过滤功能；支持通过进程ID来跟踪网络和系统日志；支持捕捉...在这里，我们需要打开Edit控制面板中的Preferences标签页，选择Protocols设置下的DLT_USER，然后点击Edit并填写完对话框中的信息：接下来，将etw值设置为DLT = 147...ID过滤 ETW利用每个数据包的Header来进行数据包标记，而Header中总会包含关于数据发送方的某些元数据，其中一个就是发送工具的进程ID。

1K3 0

针对APT攻击的终端安全系统大规模评估

作为内核级进程句柄监视和保护的更通用示例，可以看一下 ObRegisterCallbacks 例程，它本质上是 Microsoft 基于内核的进程和线程句柄挂钩，主要由 AV 解决方案使用，在线上有多个示例说明如何使用可以使用这种通常结合访问掩码过滤的方法来保护进程...图片 A）启用设置在 Cynet 中，使用了激进的配置来启用阻止模式，并尽可能启用所有功能，包括 ADT、事件监控等。 B）CPL CPL 攻击向量通过静态检测被杀死。...EPP 使用从数百万个终端收集的实时反馈，其中包括内核回调、ETW（Windows 事件跟踪）和挂钩。...就向量而言，它的检测主要基于内核回调和 ETW。...根据研究，Apex One 使用网络、内核回调、挂钩；在内核和用户模式、ETW 和 AMSI 中执行行为检测。

3.5K12 1

QQ浏览器性能提升之路——windows性能分析工具篇

在Windows 7中，ETW得到了进一步的增强。...Consumer：Consumer实时地从Event Trace Session或者是日志文件中订阅事件。 Session：它存在于内核中，用于表示一个ETW事件记录会话。...系统中可以存在多个Session，每个Session都可以接收来自于多个Provider的事件，最后我们可以将多个Session中的事件写入一个日志文件中，这个日志文件就叫做Trace。...5）虽然我习惯了Xperf，但还是推荐大家优先尝试新版本里面的WPRUI，在易用性方面已经改善了很多。关于各个Scenario的含义，可以参考微软的官方文档。...System Activity：系统活动，里面主要是进程线程的生命周期，原始事件等等内容。 Computation：记录了CPU的各项活动。 Storage：记录了磁盘的活动和文件的操作。

5.2K5 1

微软发布.NET Core 2.2

它作为.NET Core 2.1中的选择加入功能添加，然后在.NET Core 2.2 Preview 2中默认启用。...运行时事件(Runtime Events) 通常需要监视运行时服务（如当前进程的GC，JIT和ThreadPool），以了解这些服务在运行应用程序时的行为方式。...在Windows系统上，这通常使用ETW并监视当前进程的ETW事件来完成。虽然这种方法仍然有效，但使用ETW并不总是容易或可能。...无论您是在低权限环境中运行还是在Linux或macOS上运行，都可能无法使用ETW。从.NET Core 2.2开始，现在可以使用EventListener类来使用CoreCLR事件。...这些事件描述了GC，JIT，ThreadPool和interop的行为。它们是在Windows上作为CoreCLR ETW提供程序的一部分公开的相同事件。

7812 0

微软轻量级系统监控工具sysmon原理与实现完全分析

前情提要：微软轻量级系统监控工具sysmon内核实现原理微软轻量级监控工具sysmon原理与实现前两次我们分别讲了sysmon的ring3与ring0的实现原理，但是当初使用的版本的是8.X的版本...比如增加DNS得功能，这个功能实现也很简单，就是ETW里获取Microsoft-Windows-DNS-Client得数据，但是本篇不讲这个，本续篇主要讲内核里的事件结构。...算法id，hashvalue、三组进程相关的数据用户UserSid、进程ImageFileName、文件名FileName 可以看到内核里上报出来的事件类型是根据是否计算hash来判断，分别是10 、11...进程创建上报事件内核的事件Type值是4或者1 ?...进程退出事件进程退出事件内核的Type值是3 ?

1.2K2 0

Shellcode 技术

禁用 Windows 事件跟踪 (ETW) 许多 EDR 解决方案广泛利用 Windows 事件跟踪 (ETW)，特别是 Microsoft Defender for Endpoint（以前称为 Microsoft...ETW 在内核中有组件，主要是为系统调用和其他内核操作注册回调，但也包含一个用户态组件，它是ntdll.dll（ETW 深度潜水和攻击向量）的一部分。...由于ntdll.dll是一个 DLL 加载到我们的二进制进程中，我们可以完全控制这个 DLL 和 ETW 功能。...用户空间中的ETW有很多不同的绕过方式，但最常见的是修补函数 EtwEventWrite调用它来写入/记录 ETW 事件。...当我们在加载器进程空间的线程中运行 shellcode 时，更容易混入进程中良性线程执行和内存操作的噪音。然而，不利的一面是任何崩溃的开发后模块也会导致加载程序的进程崩溃，从而导致植入程序崩溃。

1.6K2 0

etl-parser：基于纯Python开发的事件追踪日志文件解析工具

关于etl-parser etl-parser是一款基于纯Python开发的事件追踪日志文件读取和解析工具。...该工具基于纯Python 3 ETL Windows日志文件解析库实现其功能，而ETL则是ETW以及内核日志工具的默认格式。...很多新型的API都基于ETW实现，比如说Tracelogging或WPP等，而这些API都是微软开发者会经常使用的。...etl-parser不需要任何系统依赖，支持在Windows和Linux系统上运行。...事件转换为XML格式的数据： etl2xml -i example.etl -o example.xml 第二个脚本为etl2pcap，该脚本负责将那些通过netsh创建的网络数据包转换为pcap文件格式

1.4K2 0

如何使用Sealighter追踪和研究ETW

关于Sealighter Sealighter是针对ETW（Event Tracing）和WPP（Windows PreProcessor Tracing）的安全研究工具，工具的帮助下，在ETW研究人员可以方便追踪和研究...Sealight利用了Krabs ETW库来启用事件过滤功能的丰富功能，对事件ETW和WPP进行分类。...6、可配置将一个时间段内的多个事件缓冲到一个计数的事件中，以减少生成的事件数；工具安装观察研究人员可以访问该项目的【发布】下载最新版本的Sealighter然后运行最新版本的C时环境。...将数据输出到Windows之前的事件日志，我们需要将数据输出到Windows之前的事件日志，我们需要将一些数据解析到事件中的事件日志中日志服务中。...参数，然后在管理员权限运行的PowerShell或路径窗口中，中运行以下命令： wevtutil im path/to/sealighter_provider.man 此时，在事件查看器UI界面的“Applications

5633 0

单一函数中的一系列Windows内核漏洞

介紹在分析Windows内核漏洞的过程中，我发现一个函数EtwpNotifyGuid存在5个以上的bug，分别是CVE-2020-1033、CVE-2020-1034、CVE-2021...在一个Windows内核函数中存在5个以上的BUG，这是一个非常惊人的事实。这篇文章将深入了解这些漏洞的细节和微软发布的修复方法。 CVE-2020-1033。...Windows事件追踪权限提升漏洞该漏洞由DBAPPSecurity的madongze（@闫子双）发现，并于2021年1月12日进行了修补。...微软通过检查EtwpValidateTraceControlFilterDescriptors函数中的缓冲区长度来修复该错误，具体如下。...而在NtTraceControl函数的同一控制代码过程中，还有一个漏洞。这个事实说明ETW组件是Windows内核中非常脆弱的部分，而且这个组件可能会发现更多的漏洞。

9711 0

鹅厂优文 | 企点PC端性能测试-UI卡顿分析

本文以一个企点融合工作台测试中发现的案例说明如何获得UI卡顿数据，以及如何分析数据，定位问题二、案例介绍点击工作台拨号盘时，数字按钮的响应可以感觉到明显的卡顿。...微软官方的性能测试工具，集成在Windows SDK中 UIforETW：开源工具，下载地址在前期的调研中，WPT可以说是 “举步维艰“，而UIforETW则是“纵享丝滑”，基于以下原因，最终选择了UIforETW...，而Xperf的基础又是ETW（Event Tracing for Windows），ETW是一个生产者消费者模式的系统，它提供了内核级的事件跟踪能力。...ETW有三个成员组成： Controllers，负责启动停止Event Tracing Session，负责启用停止Providers。...Providers，负责向Event Tracing Session中输出事件。 Consumers，从Event Tracing Session中获取事件。

4.5K14 1

.NET 中的 EventCounters

与 EventSource 上所有其他事件一样，可以通过 EventListener 和 EventPipe 在进程内和进程外使用它们。...此外，自定义方法可以计算 IsEnabled 方法，以确定是否启用了当前事件源。...通过 ETW 或 EventPipe 在原始流中传输事件： ETW API 附带 Windows OS，EventPipe 可作为 .NET API 或诊断 IPC 协议进行访问。...进程内使用可以通过 EventListener API 使用计数器值。 EventListener 是使用由应用程序中 EventSource 的所有实例编写的任何事件的一种进程内方法。...有关如何使用 EventListener API 的详细信息，请参阅 EventListener。首先，需要启用生成计数器值的 EventSource。

1.4K2 0

ETW - 事件提供者（Event Provider）

Samples | Microsoft Learn Windows ETW（Event Tracing for Windows 简称ETW）是 Windows 操作系统中的一种高性能、可扩展的事件跟踪框架...它允许开发人员在应用程序、设备驱动程序和内核组件中插入事件，以便在运行时收集有关系统行为的详细信息。这些事件可以用于诊断性能问题、调试应用程序、监视系统活动等。...事件提供者（Event Provider）事件提供者（Event Provider）：事件提供者是生成事件并将其发送到 ETW 的可执行模块，例如应用程序、设备驱动程序或内核组件。...事件提供者在系统中注册，并指定事件的类型和结构。...// 在 Vista 及更高版本中，如果这些提供程序已由 xperf 或 logman 启用， // 则 *Context 全局变量将被修改如下：

6491 0

性能分析工具-PerfView

PerfView能够收集Windows事件跟踪（ETW）数据来追踪程序的调用流向，这些程序通过调用哪个函数识别频率。...安装PerfView 从微软下载的 PerfView 包括一个zip压缩文件，其中只有一个可执行的文件perfview.exe，这简化了安装。...收集配置数据 PerfView利用Windows事件追踪，而ETW从Windows 2000 Server以来就一直内置于操作系统中。...只是最近才有XPerf和PerfView一类的工具利用ETW数据来解决性能问题。事件数据被收集到一个事件跟踪日志（ETL）中。根据你想要跟踪事件的数量和时间的长度，ETL文件可能会非常大。...最后，该CPU堆栈查看器会在独立的窗口中打开，如下图QQ进程的信息，你可以确定调用了哪个函数以及它们的频率。 ? 如果你仔细查看上面的例子，你会发现第一行显示>。“!?”

1.9K7 0

如何利用ETW（Event Tracing for Windows）记录日志

由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。...ETW Provider会预先注册到ETW框架上，提供者程序在某个时刻触发事件，并将标准化定义的事件提供给ETW框架。...ETW针对事件的处理是在某个会话（ETW Session）中进行的，ETW Session提供了一个接收、存储、处理和分发事件的执行上下文。...我们可以看到一共具有四条相关的事件，其中三条是通过定义在SecurityEventSource中对应三个对应方法写入的。...对于收集的每一个事件，我们可以得到与之相关的时间名称、执行时间、进程、线程、消息以及其他相关信息，具体的信息如下表所示。

1.6K10 0

.NET Core 2.2 正式发布

它被添加为.NET Core 2.1中的可选的功能，然后在.NET Core 2.2 preview 2中默认启用。...默认情况下, 它在.NET Core 3.0 中启用，我们希望它保留在该配置中。运行时事件通常需要监视运行时服务 (如当前进程的GC、JIT和线程池)，以了解这些服务在运行应用程序时的行为。...在 Windows 系统上，这通常使用 ETW 和监视当前进程的 ETW 事件来完成。虽然这可以继续很好地工作，但使用 ETW 并不总是方便的，也不总是可用的。...比如您是在低全新环境中运行, 或者是在 Linux 或 MacOS上运行，都可能无法使用 ETW。从.NET Core 2.2开始，现在可以用EventListener来使用CoreCLR 事件。...这些事件描述了 GC、JIT、线程池和interop的行为。它们作为 Windows 上 CoreCLR ETW提供程序的一部分公开的事件。

9783 0

在.NET Core 中收集数据的几种方式

，我们可以异步的去收集信息，比如中间件的进入和退出，HttpClient 调用的开始和结束，并且有很多第三方的库都支持了 DiagnosticSource,这也是微软目前推荐的方式，在改动极少代码的情况下...EWT(Event Tracing for Windows) ETW是Event Tracing for Windows的简称，它是Windows提供的原生的事件跟踪日志系统。...由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。...，你可以使用此信息来监视进程的内部工作情况，也可分析 .NET 应用程序的性能支持的功能如下： CLR 启动和关闭事件。...这可能要求你掌握 C++ 和 C#, 另外需要注意的是，Profiler 是一个非托管的 DLL 库，会在应用运行时被加载到 CLR 中并与应用处于同一进程空间下，所以 Profiler DLL 实质上是不受托管代码的访问控制的

9280 0

在.NET Core 中收集数据的几种方式

，我们可以异步的去收集信息，比如中间件的进入和退出，HttpClient 调用的开始和结束，并且有很多第三方的库都支持了 DiagnosticSource,这也是微软目前推荐的方式，在改动极少代码的情况下...EWT(Event Tracing for Windows) ETW是Event Tracing for Windows的简称，它是Windows提供的原生的事件跟踪日志系统。...由于采用内核（Kernel）层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案。...，你可以使用此信息来监视进程的内部工作情况，也可分析 .NET 应用程序的性能支持的功能如下： •CLR 启动和关闭事件。...这可能要求你掌握 C++ 和 C#, 另外需要注意的是，Profiler 是一个非托管的 DLL 库，会在应用运行时被加载到 CLR 中并与应用处于同一进程空间下，所以 Profiler DLL 实质上是不受托管代码的访问控制的

1K2 0

如何利用ETW（Event Tracing for Windows）记录日志

2K6 0

如何利用ETW（Event Tracing for Windows）记录日志

2K5 0

Scheduled-Task-Tampering

基本介绍微软最近发表了一篇文章，记录了HAFNIUM威胁参与者如何利用计划任务存储在注册表中的缺陷来隐藏它们的存在，这清楚地表明所呈现的漏洞很可能不是影响计划任务组件的唯一缺陷，我们开始研究如何滥用计划任务的注册表结构来实现各种目标...ETW的替代路线，这将完全抑制与任务计划程序相关的大部分日志记录测绘数据在试图规避任务计划程序如何记录其事件之前，先简要介绍一下任务计划程序提供的日志记录类型，当我们在创建/修改/运行/删除任务时，.../Operational事件-如果启用了任务历史记录，则此事件将反映上述ETW提供程序将捕获的内容事件4698到4702-为了获得这些事件，需要在本地安全策略的高级审计选项中配置对象审计,此源包含与上述类似的信息.../Operational”日志中不会生成任何事件 ETW篡改 ETW篡改是一种攻击者滥用ETW架构中的缺陷以防止特定进程或整个系统生成ETW遥测的技术，这通过MDSec的研究隐藏您的 .NET - ETW...：请注意，此事件不存在于任务计划程序的安全事件中，它将仅记录任务的创建、删除和修改，因此如果ETW在Scheduler服务上被篡改，则不会捕获由任务启动的操作另一种更强大的方法将包括父子进程关系，

9731 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

在ETW中，如何启用微软视窗内核进程的ProcessRundown事件？

相关·内容

Winshark：一款用于控制ETW的Wireshark插件

针对APT攻击的终端安全系统大规模评估

QQ浏览器性能提升之路——windows性能分析工具篇

微软发布.NET Core 2.2

微软轻量级系统监控工具sysmon原理与实现完全分析

Shellcode 技术

etl-parser：基于纯Python开发的事件追踪日志文件解析工具

如何使用Sealighter追踪和研究ETW

单一函数中的一系列Windows内核漏洞

鹅厂优文 | 企点PC端性能测试-UI卡顿分析

.NET 中的 EventCounters

ETW - 事件提供者（Event Provider）

性能分析工具-PerfView

如何利用ETW（Event Tracing for Windows）记录日志

.NET Core 2.2 正式发布

在.NET Core 中收集数据的几种方式

在.NET Core 中收集数据的几种方式

如何利用ETW（Event Tracing for Windows）记录日志

如何利用ETW（Event Tracing for Windows）记录日志

Scheduled-Task-Tampering

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐