ETW机制详解与安全研究<\/h1>

1. ETW概述<\/h2>

ETW (Event Tracing for Windows) 是Windows提供的一个高效机制，用于跟踪和记录应用程序产生的事件。整个ETW体系由三个核心组件构成：<\/p>

提供者(Provider)<\/strong>: 产生事件的组件，每个Provider都有唯一的GUID标识<\/li>
跟踪会话(Tracing Session)<\/strong>: 收集和记录事件的会话<\/li>

消费者(Consumer)<\/strong>: 接收和处理事件的组件<\/li> <\/ul>
2. ETW基础操作<\/h2>
2.1 查询Provider信息<\/h3>
logman query providers # 查看所有提供者 <\/span><\/span>logman query providers "Provider Name"<\/span> # 查看特定Provider的事件 <\/span><\/span><\/code><\/pre>例如，进程创建监控的Provider是Microsoft-Windows-Kernel-Process<\/code><\/p> 2.2 查询事件ID含义<\/h3> wevtutil gp Microsoft-Windows-Kernel-Process \/ge:true <\/span><\/span><\/code><\/pre>2.3 查看运行中的消费者<\/h3> logman query -ets # 查看所有正在运行的跟踪会话 <\/span><\/span><\/code><\/pre>3. 用户模式API<\/h2> 3.1 基本API<\/h3> EventRegister<\/strong>: 注册ETW提供者<\/p> 参数: ProviderId(GUID), EnableCallback(回调函数), CallbackContext, RegHandle(返回句柄)<\/li> 示例GUID: GUID guid =<\/span> { 0xd99e9dba<\/span>, 0x1772<\/span>, 0x407c<\/span>, {0xa9<\/span>, 0x60<\/span>, 0x81<\/span>, 0xa3<\/span>, 0xd4<\/span>, 0x52<\/span>, 0x2a<\/span>, 0x98<\/span>} }; <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> EventUnregister<\/strong>: 取消注册ETW提供者<\/p> 参数: RegHandle(句柄)<\/li> <\/ul> <\/li> EventWrite<\/strong>: 写入事件<\/p> 参数: RegHandle(句柄), EventDescriptor(事件描述结构), UserDataCount(用户数据结构数量), UserData(用户数据指针)<\/li> <\/ul> <\/li> <\/ol> 3.2 事件描述结构<\/h3> EVENT_DESCRIPTOR<\/code>重要成员:<\/p> Level: 事件重要性级别<\/li> Task: 事件分类<\/li> Keyword: 事件分类<\/li> <\/ul> 3.3 跟踪会话管理<\/h3> StartTrace<\/strong>: 启动事件追踪<\/p> 参数: TraceId(写回ID), InstanceName(名称), Properties(指向EVENT_TRACE_PROPERTIES结构)<\/li> <\/ul> EVENT_TRACE_PROPERTIES<\/code>重要成员:<\/p> Wnode.BufferSize: 结构体大小<\/li> Wnode.Flags: 特性<\/li> Wnode.ClientContext: 时间戳来源<\/li> LogFileMode: 日志存储模式<\/li> EnableFlags: 要捕获的事件类型<\/li> <\/ul> <\/li> ControlTrace<\/strong>: 控制跟踪会话<\/p> 当ControlCode设置为EVENT_TRACE_CONTROL_STOP<\/code>时停止追踪<\/li> <\/ul> <\/li> QueryAllTraces<\/strong>: 查询所有运行中的跟踪会话属性<\/p> <\/li> <\/ol> 3.4 高级API<\/h3> EnableTraceEx2<\/strong>: 启用\/禁用跟踪<\/p> 参数: ProviderId(GUID), ControlCode(禁用\/启用), EnableParameters(指向ENABLE_TRACE_PARAMETERS结构)<\/li> <\/ul> ENABLE_TRACE_PARAMETERS<\/code>重要成员:<\/p> EnableProperty: 通常为0x41 (EVENT_ENABLE_PROPERTY_SID | EVENT_ENABLE_PROPERTY_ENABLE_KEYWORD_0<\/code>)<\/li> <\/ul> <\/li> TdhEnumerateProviders<\/strong>: 获取所有提供者信息(GUID, nameoffset等)<\/p> <\/li> EnumerateTraceGuidsEx<\/strong>: 获取跟踪会话相关信息<\/p> <\/li> <\/ol> 4. ETW安全研究<\/h2> 4.1 ETW对抗技术<\/h3> 移除Autologger注册表项<\/strong><\/p> 路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger<\/code><\/li> 移除指定事件会话的提供者或修改Enable值<\/li> 效果: 重启后生效<\/li> <\/ul> <\/li> 修改Provider Properties<\/strong><\/p> 将EVENT_ENABLE_PROPERTY_ENABLE_KEYWORD_0<\/code>(0x40)替换为EVENT_ENABLE_PROPERTY_IGNORE_KEYWORD_0<\/code>(0x10)<\/li> 结果: 不记录keyword为0的事件<\/li> 效果: 重启后生效<\/li> <\/ul> <\/li> 从事件会话中移除提供者<\/strong><\/p> 需要SYSTEM权限<\/li> 立即生效<\/li> 命令行示例: logman update trace EventLog-Application --p Microsoft-Windows-PowerShell -ets --p取消订阅 -p订阅 <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> Hook ETW相关函数<\/strong><\/p> 可Hook函数: EtwEventWrite<\/code>, EtwpEventWriteFull<\/code>(未导出), NtTraceEvent<\/code><\/li> 推荐Hook EtwpEventWriteFull<\/code><\/li> <\/ul> <\/li> 会话劫持<\/strong><\/p> 步骤: 通过QueryAllTraces<\/code>获取运行中的会话<\/li> 遍历traceProps获取目标会话<\/li> 通过ControlTrace<\/code>停止会话<\/li> 修改LogFileName<\/li> 重新启动会话<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ol> 4.2 内核ETW机制<\/h3> 威胁情报记录<\/strong><\/p> 函数前缀: EtwTi<\/code> (Threat-Intelligence)<\/li> 示例: EtwTiLogAllocExecVm<\/code>记录内存分配执行事件<\/li> <\/ul> <\/li> 保护掩码转换<\/strong><\/p> MiMakeProtectionMask<\/code>将三环保护标志转换为内核标志<\/li> 例如: PAGE_READONLY<\/code>(0x2) → MM_READONLY<\/code>(0x1)<\/li> <\/ul> <\/li> ETW启用检查<\/strong><\/p> EtwProviderEnabled<\/code>: 检查Provider是否在指定level和keyword上启用<\/li> EtwEventEnabled<\/code>: 检查是否启用了事件<\/li> 两者都返回TRUE才会记录日志<\/li> <\/ul> <\/li> <\/ol> 5. 参考资源<\/h2> ETW Internals for Security Research and Forensics<\/a><\/li> Tampering with Windows Event Tracing<\/a><\/li> ETW Event Tracing for Windows 101<\/a><\/li> Uncovering Windows Events<\/a><\/li> ETW Killer<\/a><\/li> Bypassing ETW-based Solutions<\/a><\/li> Evading Windows Defender ATP<\/a><\/li> <\/ol>