精易论坛

标题: 【Etw系列】使用NT Kernel Logger监听系统进程创建结束详细信息 [打印本页]

作者: ANormalUser 时间: 2022-6-15 11:17
标题: 【Etw系列】使用NT Kernel Logger监听系统进程创建结束详细信息

Etw系列：

【易首发】使用Etw监视全系统IMAGE加载卸载情况

【Etw系列】使用Etw监视系统进程创建的详细信息

更多：

Etw监视进程创建是一种底层的监视方法，其实现过程在系统内核，其真实性、稳定性和可靠性远大于使用WMI或不断枚举进程的方法，同时利用Etw监视可以获得更多的信息，例如获得发起创建进程的进程ID，线程ID，创建的进程真实路径，创建进程的内核Key地址，进程命令行，结束进程等信息：

与之前帖子的区别:

之前的程序使用基于清单“Microsoft-Windows-Kernel-Process”进行Process创建监听，这是Etw的一个manifest事件。

而本程序则是使用基于MOF（Management Object Format）的“NT Kernel Logger”（经典事件）进行的进程监听，具有更加底层的优点，同时可以实现监听程序命令行、监听程序对于NtTerminateProcess的调用，这是manifest事件做不到的。

PS：

程序启用NT Kernel Logger事件监视必须拥有管理员权限！

程序启用NT Kernel Logger事件监视必须拥有管理员权限！

若监视程序异常退出，请务必手动停止NT Kernel Logger事件

若监视程序异常退出，请务必手动停止NT Kernel Logger事件

程序下载：

[hide=d114514]

Etw - NT Kernel Logger - Process.e (31.07 KB, 下载次数: 274) [/hide]

作者: kantal 时间: 2022-6-15 11:32

来支持一下。

作者: 诺言55 时间: 2022-6-15 11:35

作者: Bszk 时间: 2022-6-15 11:36
喊个666，感谢分享

作者: sinewtec 时间: 2022-6-15 11:40
新技能已get√

作者: veryhigh2014 时间: 2022-6-15 11:40

喊个666，感谢分享

作者: 外星人群控 时间: 2022-6-15 11:46
必须来支持一下

作者: 尛龍科技 时间: 2022-6-15 11:48
新技能已Get√

作者: 就是那个秋 时间: 2022-6-15 11:52
感谢分享

作者: 杰西卡技术传媒 时间: 2022-6-15 12:03
新技能已get√

作者: 784326742 时间: 2022-6-15 12:27
您已经收听了TA

作者: xjshuaishuai 时间: 2022-6-15 12:30
学习一下，谢谢分享！

作者: pjm123 时间: 2022-6-15 12:46
谢谢分享

作者: quary888 时间: 2022-6-15 13:43
谢谢楼主分享！！！
好人一生平安！！！

作者: jiang910615 时间: 2022-6-15 13:47
学习学习

作者: ttyyy06 时间: 2022-6-15 13:55
马克一下

作者: Fate 时间: 2022-6-15 14:24

感谢分享

作者: gaoqing 时间: 2022-6-15 14:41
谢谢分享

作者: 135544 时间: 2022-6-15 14:59
感谢分享

作者: 小小小Baby 时间: 2022-6-15 15:07
感谢大佬开源，向大佬学习

作者: 本森Bin 时间: 2022-6-15 15:15
谢谢分享

作者: incwin 时间: 2022-6-15 15:17

谢谢分享

作者: 315215 时间: 2022-6-15 16:18
看看如何的

作者: 河道蟹 时间: 2022-6-15 16:36
有没有速度更快的方式啊

作者: 晓风残月梦微凉 时间: 2022-6-15 16:51
我也想知道如何拦截并修改程序的启动命令行

作者: 爱编程爱精易 时间: 2022-6-15 18:16
下载看看谢谢

作者: 土豆拌螃蟹 时间: 2022-6-15 18:42
Etw监视进程创建是一种底层的监视方法

作者: z博士 时间: 2022-6-15 23:07
感谢分享

作者: 要强不要秃 时间: 2022-6-15 23:15
支持开源~！感谢分享

作者: futiem 时间: 2022-6-15 23:28
若监视程序异常退出

作者: 794229345 时间: 2022-6-15 23:56
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: bianyuan456 时间: 2022-6-16 00:32
感谢分享

作者: 猪滴寳貝哝 时间: 2022-6-16 01:34
感谢分享~

作者: 枫眼 时间: 2022-6-16 04:02
666666666666666666666666666

作者: 王摇摆 时间: 2022-6-16 09:26
感谢分享

作者: cwgwww 时间: 2022-6-16 09:46
感谢楼主分享~

作者: xtavoxing 时间: 2022-6-16 11:45
哇....感觉好厉害的....

作者: 杰西卡技术传媒 时间: 2022-6-16 12:26
大佬能不能做一下监听文件被拖拽

作者: lobid 时间: 2022-6-16 12:36
让江小白来看看帖子里藏了啥好东西~~~

作者: 冷小毅 时间: 2022-6-16 14:35
使用NT Kernel Logger监听系统进程创建结束详细信息

作者: 草莓小熊 时间: 2022-6-16 15:22
谢谢分享~

作者: 飞宇 时间: 2022-6-16 15:46
拿来吧你~！

作者: tayuyu 时间: 2022-6-16 15:49
{:4_255:

作者: qq769138343 时间: 2022-6-16 16:01
感谢发布原创作品，精易因你更精彩！

作者: itolaiai 时间: 2022-6-16 16:03
我也想知道如何拦截并修改程序的启动命令行

作者: starfee 时间: 2022-6-16 17:11
谢谢大神！！！！！！

作者: 淡淡香草味 时间: 2022-6-16 17:20
我也想知道如何拦截并修改程序的启动命令行

作者: dzscuz 时间: 2022-6-16 17:59
看看是什么东西

作者: liaoxiaohu 时间: 2022-6-16 19:48
666666666666666666666666

作者: 狸楚殇 时间: 2022-6-16 20:35
感谢分享！

作者: a87249594 时间: 2022-6-16 21:16

看看谁脸黑

作者: 司徒西 时间: 2022-6-16 21:18
感谢发布原创作品，精易因你更精彩！

作者: tvvvhg 时间: 2022-6-16 22:05
感谢发布原创作品，精易因你更精彩！

作者: hymm2003 时间: 2022-6-16 22:10
感谢分享

作者: yujiekuxiao 时间: 2022-6-17 00:46
很好的记录软件运行的点不用驱动层进程回调

作者: qqrazc 时间: 2022-6-17 03:03

看看是什么东西

作者: camingo 时间: 2022-6-17 08:00

作者: chyun63 时间: 2022-6-17 08:21
感谢分享

作者: 胖虎O 时间: 2022-6-17 10:40
看看学校了

作者: shentong 时间: 2022-6-17 19:35
kkkkkkkkkkkkkkkkkk

作者: 火狐编程 时间: 2022-6-18 00:19
学习下，不错哦~

作者: nb1130 时间: 2022-6-18 07:52
学习怎么实现

作者: 藏梦阁 时间: 2022-6-18 07:59
支持开源~！感谢分享

作者: magicwk 时间: 2022-6-18 10:30
我来看一下

作者: a019872140 时间: 2022-6-18 11:50
666666666666666666666666666666

作者: 猫神父 时间: 2022-6-19 05:15
程序启用事件监视必须拥有管理员权限！
程序启用事件监视必须拥有管理员权限！
若监视程序异常退出，请务必手动停止监视事件
若监视程序异常退出，请务必手动停止监视事件

作者: 631935411 时间: 2022-6-19 14:33
66666666666666

作者: ManNanIsMe 时间: 2022-6-19 17:49
我也想知道如何拦截并修改程序的启动命令行

作者: 大飞超人 时间: 2022-6-19 18:34
6666666666666

作者: 34400712 时间: 2022-6-19 18:34
666666666666666666666666666

作者: fjgh 时间: 2022-6-19 20:36

作者: ashu180 时间: 2022-6-19 23:21
来膜拜一下大佬的代码

作者: lvzhi_123 时间: 2022-6-20 05:20
学习学习！

作者: 布鲁斯南 时间: 2022-6-20 06:57
有修复事件拦截崩溃，保存的问题吗

作者: り铕靺╮铕樣﹏ 时间: 2022-6-20 08:38
如果您要查看本帖隐藏内容请回复

作者: Yulent 时间: 2022-6-20 08:50
使用NT Kernel Logger监听系统进

作者: 土豆要不 时间: 2022-6-20 10:00
标题: ++
6666666666666666666

作者: cfvgbhnj 时间: 2022-6-20 13:02
感谢发布原创作品，精易因你更精彩！

作者: 啊平 时间: 2022-6-20 19:15
谢谢分享学习看看

作者: 壮志豪情 时间: 2022-6-20 19:18
666666666666666

作者: 昨夜的雨 时间: 2022-6-20 19:26
感谢发布原创作品，精易因你更精彩！

作者: jing2020yi 时间: 2022-6-20 20:08
谢谢分享~

作者: heiyi 时间: 2022-6-20 21:12
开源必须支持！

作者: xiaojiakeji 时间: 2022-6-20 22:17
6666666666666666666

作者: zhaohao1578 时间: 2022-6-21 05:29
开源精神必须支持~

作者: clearlove 时间: 2022-6-21 08:55
使用NT Kernel Logger监听系统进程创建

作者: 土豆要不 时间: 2022-6-21 10:00
标题: ++
6666666666666666666

作者: wmv520 时间: 2022-6-21 19:16
支持开源精神~

作者: caoljie 时间: 2022-6-21 22:47
监听系统进程创建结束详细信息

作者: 378385038 时间: 2022-6-22 00:34
11111111111111

作者: pipi9 时间: 2022-7-10 01:53
感谢大佬，很给力！

作者: 君杰 时间: 2022-9-1 07:30
感谢大佬，很给力！

作者: 可罗米娜酱 时间: 2022-9-12 10:20
没法用啊,提示地址无法传送

作者: jable 时间: 2022-10-22 21:30
进来看看。。。。。

作者: 呼呼哈哈嘿嘿 时间: 2022-12-4 18:58
白白嫩嫩你慢慢慢慢慢慢

作者: wscpf1919 时间: 2023-2-9 11:02
监视速度太慢了，无法第一时间拦截

作者: 小迷人啦啦啦 时间: 2023-2-11 18:33
能不能搞个修改进程名字的

作者: bige530 时间: 2023-2-13 19:52
程序启用NT Kernel Logger事件

作者: xxz123xxz 时间: 2023-6-27 11:47
支持支持支持

作者: sunnnyzlc 时间: 2024-4-25 19:27
感谢大佬，很给力！

欢迎光临精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4