微软粉丝一定喜欢这个 Go 工具

Go语言中文网 今天

以下文章来源于Go招聘 ,作者欧盆索思

今天推荐一个现代的 Windows 内核探索和跟踪工具:Fibratus。这是一个 Go 实现的工具。

Fibratus 是用于探索和跟踪 Windows 内核的工具。它使您可以捕获系统范围内的事件,例如进程生命周期,文件系统I / O,注册表修改或网络请求以及许多其他可观察性信号。简而言之,Fibratus 允许获得 Windows 内核的深入操作可见性,而且还可以在其之上运行进程。

项目地址:https://github.com/rabbitstack/fibratus,Star 数:910+。

事件可以发送到各种各样的输出接收器,也可以转储以捕获文件以进行本地检查和取证分析。您可以使用 filaments 通过自己的工具库扩展 Fibratus,从而利用 Python 生态系统的功能。

该项目有一个官网:https://www.fibratus.io/,文档很全。

该工具的使用方式如下:

$ fibratus -h

Usage:  fibratus [command]

Available Commands:  capture         Capture kernel event stream to the kcap file  config          Show runtime config  docs            Open Fibratus docs in the web browser  help            Help about any command  install-service Install fibratus within the Windows service control manager  list            Show info about filaments, filter fields or kernel event types  remove-service  Remove fibratus from the Windows service control manager  replay          Replay kernel event flow from the kcap file  restart-service Restart fibratus service  run             Bootstrap fibratus or a filament  start-service   Start fibratus service  stats           Show runtime stats  stop-service    Stop fibratus service  version         Show version info

如果你是 Windows 系统,可以试试。

(0)

相关推荐