Fibratus：一款功能強大的Windows核心漏洞利用和跟蹤工具

Windows Windows程式設計 · 發表 2019-03-15 15:07:33

摘要：今天給大家介紹的是一款名叫Fibratus的開源工具，廣大研究人員可以使用這款功能強大的工具來進行Windows核心漏洞利用、挖掘與跟蹤。 Fibratus這款工具能夠捕捉到絕大多數的 Windows 核心活動-程序/執行緒建立和終止，上下文轉換，檔案系統I/O，暫存器，...

今天給大家介紹的是一款名叫Fibratus的開源工具，廣大研究人員可以使用這款功能強大的工具來進行Windows核心漏洞利用、挖掘與跟蹤。

Fibratus這款工具能夠捕捉到絕大多數的 Windows 核心活動-程序/執行緒建立和終止，上下文轉換，檔案系統I/O，暫存器，網路活動以及 DLL 載入/解除安裝等等。除此之外，所有的核心事件可以直接以AMQP訊息、Elasticsearch簇或標準輸出流的形式提供給使用者。大家可以使用filaments（一款輕量級Python模組）來根據自己的需要去擴充套件Fibratus的功能，這也是Python生態系統給大家提供的便利之處。

工具安裝

點選【這裡】下載Fibratus的最新版本（Windows安裝包）。工具的修改日誌和舊版本可以點選【這裡】獲取。

安裝依賴元件

1、下載並安裝Python 3.4【下載地址】；

2、安裝Visual Studio 2015（你只需要Visual C編譯器來構建kstreamc擴充套件），確保環境變數VS100COMNTOOLS指向的是“%VS140COMNTOOLS%”。

3、獲取Cython：

pip install Cython >=0.23.4

通過pip包管理器安裝fibratus：

pip install fibratus

工具執行

大家可以執行命令“fibratus –help”來獲取使用幫助資訊：

Usage:
fibratus run ([--filament=<filament>]| [--filters <kevents>...]) [--no-enum-handles] [--cswitch]
fibratus list-kevents
fibratus list-filaments
fibratus -h | --help
fibratus --version
 
Options:
-h --helpShow this screen.
--filament=<filament>Specify the filament to execute.
--no-enum-handlesAvoids enumerating the system handles.
--cswitchEnables context switch kernelevents.
--versionShow version.

執行命令fibratus run（無需任何引數），可直接捕捉到所有支援的核心事件，控制器初始化完成之後，捕捉到的核心事件會持續輸出並呈現給使用者：

555020:28:14.882000 3 cmd.exe (4396) - UnloadImage (base=0x77950000,checksum=1313154, image=ntdll.dll,path=\Device\HarddiskVolume2\Windows\SysWOW64\ntdll.dll, pid=4396, size=1536.0)
555120:28:14.882000 3 erl.exe (2756) - TerminateProcess(comm=C:\Windows\system32\cmd.exe /cdir /-C /Wc:/Users/Nedo/AppData/Roaming/RabbitMQ/db/rabbit@NEDOPC-mnesia,exe=C:\Windows\system32\cmd.exe, name=cmd.exe, pid=4396, ppid=2756)
555220:28:14.882000 3 erl.exe (2756) - CloseFile(file=\Device\HarddiskVolume2\Windows, tid=1672)
563120:28:17.286000 2 taskmgr.exe (3532) - RegQueryKey(hive=REGISTRY\MACHINE\SYSTEM, key=ControlSet001\Control\Nls\Locale, pid=3532,status=0, tid=4324)
563220:28:17.286000 2 taskmgr.exe (3532) - RegOpenKey(hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\Software\Microsoft\DirectUI, pid=3532,status=3221225524, tid=4324)
563320:28:17.288000 2 taskmgr.exe (3532) - CreateFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll,file_type=REPARSE_POINT, operation=OPEN, share_mask=rwd, tid=4324)
563420:28:17.288000 2 taskmgr.exe (3532) - CloseFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, tid=4324)
563520:28:17.288000 2 taskmgr.exe (3532) - CreateFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, file_type=FILE,operation=OPEN, share_mask=r-d, tid=4324)
563620:28:17.288000 2 taskmgr.exe (3531) - LoadImage (base=0x7fefab90000,checksum=204498, image=xmllite.dll, path=\Windows\System32\xmllite.dll,pid=3532, size=217088)
563720:28:17.288000 2 taskmgr.exe (3532) - CloseFile(file=\Device\HarddiskVolume2\Windows\system32\xmllite.dll, tid=4324)
563820:28:17.300000 2 taskmgr.exe (3532) - RegQueryKey (hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\, pid=3532, status=0, tid=4324)
563920:28:17.300000 2 taskmgr.exe (3532) - RegOpenKey(hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\SOFTWARE\Microsoft\CTF\KnownClasses,pid=3532, status=3221225524, tid=4324)
564020:28:17.300000 3 taskmgr.exe (3532) - RegQueryKey(hive=REGISTRY\MACHINE\SYSTEM, key=ControlSet001\Control\Nls\Locale\, pid=3532,status=0, tid=4324)
564120:28:17.300000 3 taskmgr.exe (3532) - RegOpenKey (hive=REGISTRY\MACHINE\SYSTEM,key=ControlSet001\Control\Nls\Locale\SOFTWARE\Microsoft\CTF\KnownClasses,pid=3532, status=3221225524, tid=4324)
564220:28:17.302000 2 taskmgr.exe (3532) - UnloadImage (base=0x7fefab90000,checksum=204498, image=xmllite.dll, path=\Windows\System32\xmllite.dll,pid=3532, size=212.0)

注意：按下Ctrl+C即可停止Fibratus執行。

專案地址

Fibratus：【 GitHub傳送門】

參考文件

【 Wiki傳送門】

* 參考來源： fibratus ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM