Fibratus:一款功能强大的Windows内核漏洞利用和跟踪工具

今天给大家介绍的是一款名叫Fibratus的开源工具,广大研究人员可以使用这款功能强大的工具来进行Windows内核漏洞利用、挖掘与跟踪。

Fibratus这款工具能够捕捉到绝大多数的Windows内核活动-进程/线程创建和终止,上下文转换,文件系统I/O,寄存器,网络活动以及DLL加载/卸载等等。除此之外,所有的内核事件可以直接以AMQP消息、Elasticsearch簇或标准输出流的形式提供给用户。大家可以使用filaments(一款轻量级Python模块)来根据自己的需要去扩展Fibratus的功能,这也是Python生态系统给大家提供的便利之处。

工具安装

点击【这里】下载Fibratus的最新版本(Windows安装包)。工具的修改日志和旧版本可以点击【这里】获取。

安装依赖组件

1、 下载并安装Python 3.4【下载地址】;

2、 安装Visual Studio 2015(你只需要Visual C编译器来构建kstreamc扩展),确保环境变量VS100COMNTOOLS指向的是“%VS140COMNTOOLS%”。

3、 获取Cython:

pip install Cython >=0.23.4

通过pip包管理器安装fibratus:

pip install fibratus

工具运行

大家可以运行命令“fibratus –help”来获取使用帮助信息:

运行命令fibratus run(无需任何参数),可直接捕捉到所有支持的内核事件,控制器初始化完成之后,捕捉到的内核事件会持续输出并呈现给用户:

注意:按下Ctrl+C即可停止Fibratus运行。

项目地址

Fibratus:【GitHub传送门

参考文档

Wiki传送门

* 参考来源:fibratus,FB小编Alpha_h4ck编译

QQ代刷网

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注