ETW内部机制与安全研究取证

ETW概述

Windows事件追踪(ETW)已成为Windows 10/11端点检测响应(EDR)解决方案的核心组件。其价值在于通过安全ETW通道为安全工具提供智能数据，这也使其成为攻击者试图绕过检测的主要目标。

ETW主要由两个组件构成：

1. 提供者(Providers)：向ETW GUID发送事件，事件会被写入文件、内存缓冲区或两者
2. 消费者(Consumers)：从单个或多个提供者接收事件的追踪日志会话

通过logman query providers命令可查看系统注册的提供者（通常有上千个），每个ETW提供者在清单文件中定义自己的事件类型。

寻找ETW消费者进程

通过性能监视器可查看所有运行的ETW消费者会话，但获取接收事件的进程列表更为复杂。我们采用WinDbg内核调试会话来深入分析：

1. 使用JavaScript脚本扫描所有进程的句柄表，查找EtwConsumer对象
2. 获取关联的ETW_REALTIME_CONSUMER结构并提取LoggerId
3. 通过WMI_LOGGER_CONTEXT结构数组匹配日志会话名称

1
2
3
4
5
6
7
8
9

function EtwConsumersForProcess(process) {
    let handles = process.Io.Handles;
    for (let handle of handles) {
        if (handle.Object.ObjectType === "EtwConsumer") {
            let consumer = host.createTypedObject(handle.Object.Body.address, "nt", "_ETW_REALTIME_CONSUMER");
            // 处理消费者信息...
        }
    }
}

更高效的方法是通过EtwSiloState->EtwpLoggerContext直接枚举日志会话及其消费者。

查找提供者GUID

通过分析ETW_SILODRIVERSTATE结构的EtwpGuidHashTable字段，我们可以：

1. 遍历64个哈希桶中的GUID条目
2. 检查每个ETW_GUID_ENTRY的EnableInfo数组
3. 匹配目标LoggerId并提取关联进程信息

1
2
3
4
5
6
7

function GetGuidsForLoggerId(loggerId, guidType) {
    let guidHashTable = typedhostSiloGlobals.EtwSiloState.EtwpGuidHashTable;
    for (let bucket of guidHashTable) {
        let guidEntries = host.namespace.Debugger.Utility.Collections.FromListEntry(...);
        // 处理GUID条目...
    }
}

实际应用价值

这些技术可帮助：

• 识别EDR软件使用的ETW日志会话
• 发现被禁用的日志会话（安全产品可能因此"失明"）
• 从攻击者角度评估哪些ETW提供者可能带来检测风险

所有JavaScript函数可在GitHub仓库获取。

ETW是极其强大的机制，深入了解其内部工作原理对攻击者和防御者都大有裨益。本文仅触及表面，该领域还有更多值得探索的空间。