這篇文章給大家分享的是有關(guān)Winshark是一款什么插件的內(nèi)容。小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

創(chuàng)新互聯(lián)專(zhuān)注于企業(yè)營(yíng)銷(xiāo)型網(wǎng)站、網(wǎng)站重做改版、會(huì)寧網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、成都做商城網(wǎng)站、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性?xún)r(jià)比高，為會(huì)寧等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

Winshark

Winshark是一款用于控制ETW的Wireshark插件，ETW（Event Tracing for Windows）提供了一種對(duì)用戶(hù)層應(yīng)用程序和內(nèi)核層驅(qū)動(dòng)創(chuàng)建的事件對(duì)象的跟蹤記錄機(jī)制。為開(kāi)發(fā)者提供了一套快速、可靠、通用的一系列事件跟蹤特性。Microsoft Message Analyzer早就已經(jīng)過(guò)時(shí)了，而且它的下載包早在2019年11月25日也被微軟從其官網(wǎng)上移除了。Wireshark建立了一個(gè)龐大的網(wǎng)絡(luò)協(xié)議剖析器工具庫(kù)，為了幫助廣大研究人員更好地收集和分析各種類(lèi)型的網(wǎng)絡(luò)日志，Winshark便應(yīng)運(yùn)而生。

Winshark基于libpcap作為后端來(lái)捕捉ETW（Event Tracing for Windows），并且提供了一個(gè)生成器來(lái)在設(shè)備上為已知ETW生成所有的解析器。除此之外，我們害廷加了Tracelogging支持來(lái)覆蓋絕大多數(shù)的Windows操作系統(tǒng)日志技術(shù)。

在Winshark以及Windows系統(tǒng)強(qiáng)大功能的幫助下，我們可以在同一工具下捕捉網(wǎng)絡(luò)和事件日志。

在工具使用方面，Winshark的誕生有著重要意義：

• 支持混合所有類(lèi)型的事件，包括網(wǎng)絡(luò)事件和系統(tǒng)事件；

• 支持針對(duì)事件日志使用Wireshark過(guò)濾功能；

• 支持通過(guò)進(jìn)程ID來(lái)跟蹤網(wǎng)絡(luò)和系統(tǒng)日志；

• 支持捕捉pacp文件中的Windows日志和網(wǎng)絡(luò)痕跡；

• 通過(guò)NpEtw文件系統(tǒng)過(guò)濾驅(qū)動(dòng)器捕捉命名管道；

工具安裝

在使用Winshark之前，請(qǐng)先安裝Wireshark。

現(xiàn)在，你需要讓W(xué)ireshark將DLT_USER 147解釋為ETW，這是因?yàn)槲覀冊(cè)谑褂弥斑€沒(méi)有從libpcap獲取到真實(shí)的值，之后我們才能發(fā)送一個(gè)pull請(qǐng)求來(lái)獲取到專(zhuān)門(mén)的DLT值。在這里，我們需要打開(kāi)Edit控制面板中的Preferences標(biāo)簽頁(yè)，選擇Protocols設(shè)置下的DLT_USER，然后點(diǎn)擊Edit并填寫(xiě)完對(duì)話(huà)框中的信息：

接下來(lái)，將etw值設(shè)置為DLT = 147：

工具構(gòu)建

Winshark由cmake驅(qū)動(dòng)，工具的構(gòu)建配置命令如下：

git clone https://github.com/airbus-cert/winshark --recursive

mkdir build_winshark

cd build_winshark

cmake ..\Winshark

cmake --build . --target package --config release

捕捉網(wǎng)絡(luò)流量

為了使用Winshark來(lái)捕捉網(wǎng)絡(luò)流量，我們需要通過(guò)netsh來(lái)激活網(wǎng)絡(luò)追蹤功能：

netsh.exe trace start capture=yes report=no correlation=no

接下來(lái)，創(chuàng)建一個(gè)跟Microsoft-Windows-NDIS-PacketCapture供應(yīng)器綁定的ETW會(huì)話(huà)：

logman start Winshark-PacketCapture -p "Microsoft-Windows-NDIS-PacketCapture" -rt -ets

然后使用管理員權(quán)限啟動(dòng)Wireshark，并選擇Winshark-PacketCapture接口：

接下來(lái)，我們就可以開(kāi)始捕捉網(wǎng)絡(luò)數(shù)據(jù)包了：

基于進(jìn)程ID過(guò)濾

ETW利用每個(gè)數(shù)據(jù)包的Header來(lái)進(jìn)行數(shù)據(jù)包標(biāo)記，而Header中總會(huì)包含關(guān)于數(shù)據(jù)發(fā)送方的某些元數(shù)據(jù)，其中一個(gè)就是發(fā)送工具的進(jìn)程ID。我們可以使用下列語(yǔ)句來(lái)配置Wireshark的過(guò)濾功能：

etw.header.ProcessId == 1234

捕捉命名管道

安裝

首先，我們需要使用下列命令通過(guò)測(cè)試模式下的驅(qū)動(dòng)器簽名檢測(cè)：

bcdedit /set testsigning on

接下來(lái)，安裝NpEtwSetup.msi，然后重啟設(shè)備。

然后使用管理員權(quán)限運(yùn)行“C:\Program Files\Wireshark\WinsharkUpdate.bat”來(lái)更新Winshark解析器。

命名管道捕捉

首先，使用管理員權(quán)限打開(kāi)一個(gè)cmd.exe命令行窗口，然后使用下列命令開(kāi)啟驅(qū)動(dòng)器：

sc start NpEtw

接下來(lái)，創(chuàng)建一個(gè)ETW會(huì)話(huà)：

logman start namedpipe -p NpEtw -ets -rt

現(xiàn)在，打開(kāi)Wireshark，然后選擇namedpipe會(huì)話(huà)即可。

感謝各位的閱讀！關(guān)于“Winshark是一款什么插件”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！