Winshark是一款什么插件

這篇文章給大家分享的是有關(guān)Winshark是一款什么插件的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

創(chuàng)新互聯(lián)專注于企業(yè)營銷型網(wǎng)站、網(wǎng)站重做改版、會寧網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、成都做商城網(wǎng)站、集團公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為會寧等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

Winshark

Winshark是一款用于控制ETW的Wireshark插件，ETW（Event Tracing for Windows）提供了一種對用戶層應(yīng)用程序和內(nèi)核層驅(qū)動創(chuàng)建的事件對象的跟蹤記錄機制。為開發(fā)者提供了一套快速、可靠、通用的一系列事件跟蹤特性。Microsoft Message Analyzer早就已經(jīng)過時了，而且它的下載包早在2019年11月25日也被微軟從其官網(wǎng)上移除了。Wireshark建立了一個龐大的網(wǎng)絡(luò)協(xié)議剖析器工具庫，為了幫助廣大研究人員更好地收集和分析各種類型的網(wǎng)絡(luò)日志，Winshark便應(yīng)運而生。

Winshark基于libpcap作為后端來捕捉ETW（Event Tracing for Windows），并且提供了一個生成器來在設(shè)備上為已知ETW生成所有的解析器。除此之外，我們害廷加了Tracelogging支持來覆蓋絕大多數(shù)的Windows操作系統(tǒng)日志技術(shù)。

在Winshark以及Windows系統(tǒng)強大功能的幫助下，我們可以在同一工具下捕捉網(wǎng)絡(luò)和事件日志。

在工具使用方面，Winshark的誕生有著重要意義：

• 支持混合所有類型的事件，包括網(wǎng)絡(luò)事件和系統(tǒng)事件；

• 支持針對事件日志使用Wireshark過濾功能；

• 支持通過進程ID來跟蹤網(wǎng)絡(luò)和系統(tǒng)日志；

• 支持捕捉pacp文件中的Windows日志和網(wǎng)絡(luò)痕跡；

• 通過NpEtw文件系統(tǒng)過濾驅(qū)動器捕捉命名管道；

工具安裝

在使用Winshark之前，請先安裝Wireshark。

現(xiàn)在，你需要讓W(xué)ireshark將DLT_USER 147解釋為ETW，這是因為我們在使用之前還沒有從libpcap獲取到真實的值，之后我們才能發(fā)送一個pull請求來獲取到專門的DLT值。在這里，我們需要打開Edit控制面板中的Preferences標簽頁，選擇Protocols設(shè)置下的DLT_USER，然后點擊Edit并填寫完對話框中的信息：

接下來，將etw值設(shè)置為DLT = 147：

工具構(gòu)建

Winshark由cmake驅(qū)動，工具的構(gòu)建配置命令如下：

git clone https://github.com/airbus-cert/winshark --recursive

mkdir build_winshark

cd build_winshark

cmake ..\Winshark

cmake --build . --target package --config release

捕捉網(wǎng)絡(luò)流量

為了使用Winshark來捕捉網(wǎng)絡(luò)流量，我們需要通過netsh來激活網(wǎng)絡(luò)追蹤功能：

netsh.exe trace start capture=yes report=no correlation=no

接下來，創(chuàng)建一個跟Microsoft-Windows-NDIS-PacketCapture供應(yīng)器綁定的ETW會話：

logman start Winshark-PacketCapture -p "Microsoft-Windows-NDIS-PacketCapture" -rt -ets

然后使用管理員權(quán)限啟動Wireshark，并選擇Winshark-PacketCapture接口：

接下來，我們就可以開始捕捉網(wǎng)絡(luò)數(shù)據(jù)包了：

基于進程ID過濾

ETW利用每個數(shù)據(jù)包的Header來進行數(shù)據(jù)包標記，而Header中總會包含關(guān)于數(shù)據(jù)發(fā)送方的某些元數(shù)據(jù)，其中一個就是發(fā)送工具的進程ID。我們可以使用下列語句來配置Wireshark的過濾功能：

etw.header.ProcessId == 1234

捕捉命名管道

安裝

首先，我們需要使用下列命令通過測試模式下的驅(qū)動器簽名檢測：

bcdedit /set testsigning on

接下來，安裝NpEtwSetup.msi，然后重啟設(shè)備。

然后使用管理員權(quán)限運行“C:\Program Files\Wireshark\WinsharkUpdate.bat”來更新Winshark解析器。

命名管道捕捉

首先，使用管理員權(quán)限打開一個cmd.exe命令行窗口，然后使用下列命令開啟驅(qū)動器：

sc start NpEtw

接下來，創(chuàng)建一個ETW會話：

logman start namedpipe -p NpEtw -ets -rt

現(xiàn)在，打開Wireshark，然后選擇namedpipe會話即可。

感謝各位的閱讀！關(guān)于“Winshark是一款什么插件”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！

網(wǎng)頁標題：Winshark是一款什么插件
當前路徑：http://bm7419.com/article30/jjdjso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、靜態(tài)網(wǎng)站、網(wǎng)頁設(shè)計公司、網(wǎng)站策劃、網(wǎng)站建設(shè)、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)