Fibratus:一款功能強大的Windows核心漏洞利用和跟蹤工具
今天給大家介紹的是一款名叫Fibratus的開源工具,廣大研究人員可以使用這款功能強大的工具來進行Windows核心漏洞利用、挖掘與跟蹤。
Fibratus這款工具能夠 捕捉 到絕大多數的 Windows 核心 活動-程序/執行緒建立和終止,上下文轉換,檔案系統I/O,暫存器,網路活動以及 DLL 載入/解除安裝等等。除此之外,所有的核心事件可以直接以AMQP訊息、Elasticsearch簇或標準輸出流的形式提供給使用者。大家可以使用filaments(一款輕量級Python模組)來根據自己的需要去擴充套件Fibratus的功能,這也是Python生態系統給大家提供的便利之處。
工具安裝
點選【 這裡 】下載Fibratus的最新版本(Windows安裝包)。工具的修改日誌和舊版本可以點選【 這裡 】獲取。
安裝依賴元件
1、 下載並安裝Python 3.4【 下載地址 】;
2、 安裝Visual Studio 2015(你只需要Visual C編譯器來構建kstreamc擴充套件),確保環境變數VS100COMNTOOLS指向的是“%VS140COMNTOOLS%”。
3、 獲取Cython:
pip install Cython >=0.23.4
通過pip包管理器安裝fibratus:
pip install fibratus
工具執行
大家可以執行命令“fibratus –help”來獲取使用幫助資訊:
Usage: fibratus run ([--filament=<filament>]| [--filters <kevents>...]) [--no-enum-handles] [--cswitch] fibratus list-kevents fibratus list-filaments fibratus -h | --help fibratus --version Options: -h --helpShow this screen. --filament=<filament>Specify the filament to execute. --no-enum-handlesAvoids enumerating the system handles. --cswitchEnables context switch kernelevents. --versionShow version.
執行命令fibratus run(無需任何引數),可直接捕捉到所有支援的核心事件,控制器初始化完成之後,捕捉到的核心事件會持續輸出並呈現給使用者:
555020:28:14.882000 3 cmd.exe (4396) - UnloadImage (base=0x77950000,checksum=1313154, image=ntdll.dll,path=\Device\HarddiskVolume2\Windows\SysWOW64\ntdll.dll, pid=4396, size=1536.0) 555120:28:14.882000 3 erl.exe (2756) - TerminateProcess(comm=C:\Windows\system32\cmd.exe /cdir /-C /Wc:/Users/Nedo/AppData/Roaming/RabbitMQ/db/rabbit@NEDOPC-mnesia,exe=C:\Windows\system32\cmd.exe, name=cmd.exe, pid=4396, ppid=2756) 555220:28:14.882000 3 erl.exe (2756) - CloseFile(file=\Device\HarddiskVolume2\Windows, tid=1672) 563120:28:17.286000 2 taskmgr.exe (3532) - RegQueryKey(hive=REGISTRY\MACHINE\SYSTEM, key=ControlSet001\Control\Nls\Locale, pid=3532,status=0, tid=4324) 563220:28:17.286000 2 taskmgr.exe (3532) - RegOpenKey(hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\Software\Microsoft\DirectUI, pid=3532,status=3221225524, tid=4324) 563320:28:17.288000 2 taskmgr.exe (3532) - CreateFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll,file_type=REPARSE_POINT, operation=OPEN, share_mask=rwd, tid=4324) 563420:28:17.288000 2 taskmgr.exe (3532) - CloseFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, tid=4324) 563520:28:17.288000 2 taskmgr.exe (3532) - CreateFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, file_type=FILE,operation=OPEN, share_mask=r-d, tid=4324) 563620:28:17.288000 2 taskmgr.exe (3531) - LoadImage (base=0x7fefab90000,checksum=204498, image=xmllite.dll, path=\Windows\System32\xmllite.dll,pid=3532, size=217088) 563720:28:17.288000 2 taskmgr.exe (3532) - CloseFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, tid=4324) 563820:28:17.300000 2 taskmgr.exe (3532) - RegQueryKey (hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\, pid=3532, status=0, tid=4324) 563920:28:17.300000 2 taskmgr.exe (3532) - RegOpenKey(hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\SOFTWARE\Microsoft\CTF\KnownClasses,pid=3532, status=3221225524, tid=4324) 564020:28:17.300000 3 taskmgr.exe (3532) - RegQueryKey(hive=REGISTRY\MACHINE\SYSTEM, key=ControlSet001\Control\Nls\Locale\, pid=3532,status=0, tid=4324) 564120:28:17.300000 3 taskmgr.exe (3532) - RegOpenKey (hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\SOFTWARE\Microsoft\CTF\KnownClasses,pid=3532, status=3221225524, tid=4324) 564220:28:17.302000 2 taskmgr.exe (3532) - UnloadImage (base=0x7fefab90000,checksum=204498, image=xmllite.dll, path=\Windows\System32\xmllite.dll,pid=3532, size=212.0)
注意:按下Ctrl+C即可停止Fibratus執行。
專案地址
Fibratus:【 GitHub傳送門 】
參考文件
【 Wiki傳送門 】
* 參考來源: fibratus ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM