關於RPCMon
RPCMon是一款基於事件跟蹤的WindowsRPC監控工具,該工具是一款GUI工具,可以幫助廣大研究人員通過ETW(Event Tracing for Windows)掃描RPC通信。
RPCMon能夠為廣大研究人員提供進程之間RPC通信的高級視圖,該工具功能類似Procmon,且易於使用,並利用了James Forshaw .NET庫來處理RPC連接。RPCMon能夠顯示被調用的RPC功能,以及調用它們的進程和相關信息。
RPCMon使用了硬編碼的RPC字典(包含了關於RPC模塊的信息)來快速處理RPC信息,並提供了選項來輔助構建一個RPC數據庫,因此我們可以隨時更新相關信息以便填充硬編碼的RPC字典。功能介紹
2、支持構建RPC數據庫以解析RPC模塊或使用硬編碼數據庫;
工具下載源碼獲取
廣大研究人員可以使用下列命令將該項目源碼克隆至本地:git clone https://github.com/cyberark/RPCMon.git
接下來,在Visual Studio中打開項目源碼並進行編譯即可。預編譯下載
除此之外,廣大研究人員也可以直接訪問該項目【Releases頁面】下載預編譯的RPCMon:
工具使用
雙擊RPCMon的EXE可執行文件,便可以打開RPCMon的GUI窗口。
RPCMon還需要一個數據庫來獲取RPC功能的詳細信息,如果沒有數據庫的話,可能會導致某些數據丟失。
如需加在數據庫,請點擊「DB -> Load DB...」,然後選擇你要使用的數據庫即可。你也可以選擇項目提供的數據庫文件:/DB/RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json
工具使用演示
https://user-images.githubusercontent.com/11998736/165285471-e143eebd-bfbf-49a2-8e70-107f083c60fc.mp4許可證協議
本項目的開發與發布遵循Apache-2.0開源許可證協議。
項目地址
RPCMon:https://github.com/cyberark/RPCMon
參考資料:https://github.com/tyranidhttps://github.com/googleprojectzero/sandbox-attacksurface-analysis-tools/tree/main/NtApiDotNethttps://twitter.com/g3rzi
留言列表
留言列表