健康资讯 Windows是一个闭源的操作系统,我们能不能检测到其内核发生的事件呢?比如监听Outlook应用在系统上创建了一个附件或者是检测某一个进程启动了一个线程等之类的事件,这两种事件其实都属于Windows内核事件。
我们虽然没有Windows源码,但依旧可以对Windows内核事件进行监听,借助一个开源项目---Fibratus,它就是一个能够浏览和跟踪Windows内核事件的工具,它所跟踪的是系统级别的事件,比如上述的文件IO操作、进程操作、还有注册表修改和网络请求等等,它都可以进行监听。
Fibratus可以将事件转储到其它的输出目标中,或者进行存储为一个捕获文件中,以便于之后继续对其进行本地检查或取证分析。除此之外,它还提供了一个过滤引擎,允许你进行更深入了解事件流的详情;规则引擎则能够让你检查隐蔽的对手攻击和复杂的潜在威胁。
总之,Fibratus是一个内核探索和进行观察的便利工具。
项目地址:网页链接
#头条创作挑战赛# #千奇百怪的软件项目# #fibratus#
《医学与外科研究》学术期刊(英文刊)征稿。ISSN: 2790-6388 (Print) Journal of Medicine and Surgery Research (JMSR) is a journal with a global outlook and focus>
