微软粉丝一定喜欢这个 Go 工具
今天推荐一个现代的 Windows 内核探索和跟踪工具:Fibratus。这是一个 Go 实现的工具。
Fibratus 是用于探索和跟踪 Windows 内核的工具。它使您可以捕获系统范围内的事件,例如进程生命周期,文件系统I / O,注册表修改或网络请求以及许多其他可观察性信号。简而言之,Fibratus 允许获得 Windows 内核的深入操作可见性,而且还可以在其之上运行进程。
项目地址:https://github.com/rabbitstack/fibratus,Star 数:910+。
事件可以发送到各种各样的输出接收器,也可以转储以捕获文件以进行本地检查和取证分析。您可以使用 filaments 通过自己的工具库扩展 Fibratus,从而利用 Python 生态系统的功能。
该项目有一个官网:https://www.fibratus.io/,文档很全。
该工具的使用方式如下:
$ fibratus -h
Usage:
fibratus [command]
Available Commands:
capture Capture kernel event stream to the kcap file
config Show runtime config
docs Open Fibratus docs in the web browser
help Help about any command
install-service Install fibratus within the Windows service control manager
list Show info about filaments, filter fields or kernel event types
remove-service Remove fibratus from the Windows service control manager
replay Replay kernel event flow from the kcap file
restart-service Restart fibratus service
run Bootstrap fibratus or a filament
start-service Start fibratus service
stats Show runtime stats
stop-service Stop fibratus service
version Show version info
如果你是 Windows 系统,可以试试。
文末「阅读原文」可直达项目首页。
今天的项目大家觉得怎么样吗?如果你喜欢,请在文章底部留言、点赞或关注转发,你的支持就是我持续更新的最大动力!
推荐阅读
评论