projects:ETW跟踪收集和后期处理

时间:2024-04-23 10:40:24
【文件属性】:

文件名称:projects:ETW跟踪收集和后期处理

文件大小:30KB

文件格式:ZIP

更新时间:2024-04-23 10:40:24

C++

专案 ETW跟踪收集和后期处理目标:演示在Windows上从ETW跟踪收集恶意软件检测功能的功能 该项目包含3个实用程序: TraceCollector实用程序执行给定的可执行文件,直到其终止或预设的超时时间结束为止;该实用程序在执行期间以二进制(ETL)格式收集ETW跟踪(由GUID和系统记录程序跟踪预先配置),将收集的跟踪以及有关已执行进程(PID)的信息一起保存) CsvParser实用程序该实用程序可处理TraceCollector实用程序收集的数据:将数据转换为CSV文件格式(在WDK实用程序tracerpt的帮助下),再次转换转换后的数据以提取特征(借助已执行进程的PID),可用于训练ML模型 CycleExec实用程序辅助程序实用程序,用于自动执行从多个样本(可执行文件)中收集痕量信息的过程。 重要的工作假设: 存在预配置的Hyper-V VM,该VM配置为在启动时执行


【文件预览】:
projects-master
----TraceCollector()
--------etw.cpp(12KB)
--------eal.vcxproj(8KB)
--------TraceCollector.cpp(4KB)
--------TraceCollector.h(383B)
--------eal.vcxproj.filters(1KB)
----Projects.sln(3KB)
----.gitattributes(2KB)
----CsvParser()
--------CsvParser.cpp(1KB)
--------CsvParser.vcxproj.filters(2KB)
--------EtlConverter.cpp(3KB)
--------ParserApi.h(1KB)
--------RawTraceAggregator.cpp(1KB)
--------AggregateTraces.cpp(8KB)
--------CsvParser.vcxproj(8KB)
--------PatternParser.cpp(3KB)
--------utility.cpp(3KB)
----scripts()
--------hdmountlast.ps1(358B)
--------vmauto.ps1(403B)
--------vmstop.ps1(74B)
--------hddismountlast.ps1(364B)
--------vmrevert.ps1(115B)
--------vmstart.ps1(70B)
----CycleExec()
--------CycleExec.cpp(10KB)
--------pwsexec.vcxproj(8KB)
--------ParametersParser.cpp(3KB)
--------pwsexec.vcxproj.filters(1KB)
----configuration()
--------guids.txt(273B)
--------execparams.txt(546B)
----README.md(2KB)
----.gitignore(6KB)

网友评论