message analyzer 再入門【2】
TRANSCRIPT
Message Analyzer 再入門 【 2 】Murachi Akira aka hebikuzure
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
About me 村地 彰 aka hebikuzure http://www.murachi.net/ http://www.hebikuzure.com/ https://hebikuzure.wordpress.com/ Microsoft MVP ( 元 Internet Explorer) Apr. 2011 ~現 Visual Studio and Development
Technologies
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #332
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #333
好きなパケット
2015/9/28
SMB / SMB2 / SMB3
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #334
Microsoft Message Analyzer の入手と情報
2015/9/28
ダウンロード ページhttp://www.microsoft.com/en-us/download/details.aspx?id=44226
最新版は ver. 1.3.1 (2015/7/30 リリース ) Message Analyzer Blog
http://blogs.technet.com/b/messageanalyzer/ サポート フォーラム
https://social.msdn.microsoft.com/Forums/windowsdesktop/en-us/home?forum=messageanalyzer
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #335
前回のおさらい
2015/9/28
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #336
ETW = Event Tracing for Windows
2015/9/28
Windows のコンポーネントに対してトレース ログを出力させる仕組み Window のコンポーネント以外のカーネルモード / ユーザーモード ドライバー、ユーザーモード アプリケーションでも実装可能 Checked Build によるデバッグ プリントより高速でモジュール本来の動作に与える影響が少ない 動的な有効化 / 無効化が可能 出力されるログはバイナリ データ
表示 / 解析にはツールが必要
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #337
ETW の仕組み
2015/9/28http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #338
ETW の仕組み
2015/9/28
トレース採取対象のドライバーアプリケーション
トレース有効化 / 無効化
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #339
ETW の仕組み
2015/9/28
トレース データの配信
セッションの作成 / 管理
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3310
ETW の仕組み
2015/9/28
トレースの配信
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3311
ETW の仕組み
2015/9/28
Message Analyzer
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3312
参考資料
2015/9/28
ETW へのご招待http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/23/etw.aspx
Event Tracing for Windows (ETW)http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx
FAQ: Common Questions for ETW and Windows Event Loghttps://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-for-etw-and-windows-event-log
Event Tracing for Windows (ETW) Simplifiedhttps://support.microsoft.com/en-us/kb/2593157
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3313
ETW で「ネットワーク トレース」
2015/9/28
プロバイダ「 Microsoft-Windows-NDIS-PacketCapture 」のトレースを採取する Windows 8 以降から利用可能なプロバイダ Network Monitor と同等のパケット キャプチャが可能
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3314
NDIS
2015/9/28
Network Driver Interface Specification %SystemRoot%\System32\Drivers\Ndis.sys
http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3315
WFP のプロバイダーを利用する
2015/9/28
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3316
NDIS-PacketCapture プロバイダの問題
2015/9/28
Windows 7 以前では利用できない プロバイダを有効にするために管理者権限が必要※ Message Analyzer から利用する場合、 Message Analyzer を「管理者として実行」する必要がある ループバック インターフェイス (Localhost /
127.0.01) のキャプチャができない
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3317
Microsoft-pef-WFP-MessageProvider
2015/9/28
Windows フィルタリング プラットフォーム (WFP) の ETW プロバイダー
WFP : ネットワーク フィルタリング アプリケーションを作成するためのプラットフォームを提供する API およびシステム サービスのセットhttps://msdn.microsoft.com/ja-jp/library/aa366510.aspx
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3318
WFP のメリット
2015/9/28
Windows 7 / Windows Server 2012 でも利用できる(NDIS は Windows 8 / Windows Server 2012 R2 以降 )
管理者権限が無くてもキャプチャできる(NDIS でのキャプチャには管理者権限が必要 )
Loopback インターフェイスのキャプチャができる(NDIS では Loopback のキャプチャはできない )
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3319
Loopback のみキャプチャする
2015/9/28
Trace Scenario の中に「 Local Loopback Network 」がある プロバイダーは Microsoft-pef-WFP-MessageProvider IPv4 / IPv6 ともに InBound のみキャプチャ IP アドレス 127.0.0.1 / ::1 でフィルタリング
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3320
WFP のデメリット
2015/9/28
キャプチャしたデータの形式が一般的なパケット キャプチャ ツールと異なる
( 参考 : NDIS でキャプチャした場合 )
CAP 形式にエクスポートできない Ethernet フレーム情報が無いため
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3321
NDIS と WFP の使い分け
2015/9/28
可能であれば NDIS で採取した方がよい Windows 7 の場合、管理者権限がない場合は
WFP
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3322
参考情報
2015/9/28
Selecting Data to Capturehttps://msdn.microsoft.com/ja-jp/library/office/dn799002
PEF-WFP Layer Set Filtershttps://msdn.microsoft.com/ja-jp/library/office/jj729732
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3323
リモート キャプチャ
2015/9/28
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3324
リモート コンピューターの追加
2015/9/28
[New Session] – [Target Computers] で [Edit]
[Add] で新しいコンピューターを追加
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3325
リモート コンピューターの指定
2015/9/28
コンピュータ名 / ユーザー名 / パスワードを指定 NDIS プロバイダーの利用権限のあるユーザーを指定する
Localhost は [Delete] で削除
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3326
リモート キャプチャの実行
2015/9/28
© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3327
参考情報
2015/9/28
Capturing Data Remotelyhttps://technet.microsoft.com/en-us/library/dn386835
Microsoft Message Analyzer Operating Guidehttps://technet.microsoft.com/en-us/library/jj649776