实例介绍
【实例简介】
RPCMon是一款面向研究人员的图形界面工具,通过利用Windows事件追踪(ETW)技术,实现对RPC(远程过程调用)通信的监控与分析。该工具源自于一项关于宿主机与Windows容器之间RPC通讯的研究。
概览
RPCMon旨在为研究人员提供一个关于进程间RPC通讯的高层次视图。它的设计灵感来源于Procmon,使用起来非常简单,内部集成了James Forshaw开发的.NET RPC库。RPCMon能够展示被调用的RPC函数、调用它们的进程以及其他相关信息。
RPCMon内置了一个硬编码的RPC字典,用于快速处理RPC信息,该字典包含了关于RPC模块的信息。它还提供了构建RPC数据库的选项,因此如果硬编码的RPC字典中缺少某些细节,可以从您的计算机更新。
使用方法
以管理员权限双击EXE二进制文件("以管理员身份运行"),即可打开GUI窗口。
RPCMon需要一个数据库来获取RPC函数的详细信息,没有数据库将导致信息缺失。
要加载数据库,请点击DB -> Load DB...并选择您的数据库。您可以使用我们为此项目添加的数据库:/DB/RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json。
特点
文件清单
└── RPCMon-6923a1e0fb6f266a7d18f1aa5c17e02d3f2801a9
├── CODE_OF_CONDUCT.md
├── DB
│ └── RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json
├── LICENSE
├── NOTICES.txt
├── Packages
│ ├── Microsoft.Diagnostics.Tracing.TraceEvent.2.0.42
│ │ ├── build
│ │ │ └── Microsoft.Diagnostics.Tracing.TraceEvent.props
│ │ ├── lib
│ │ │ ├── native
│ │ │ │ ├── amd64
│ │ │ │ │ ├── KernelTraceControl.dll
│ │ │ │ │ └── msdia140.dll
│ │ │ │ └── x86
│ │ │ │ ├── KernelTraceControl.dll
│ │ │ │ ├── KernelTraceControl.Win61.dll
│ │ │ │ └── msdia140.dll
│ │ │ ├── net45
│ │ │ │ ├── Dia2Lib.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.xml
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.dll
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.xml
│ │ │ │ ├── OSExtensions.dll
│ │ │ │ └── TraceReloggerLib.dll
│ │ │ ├── netstandard1.6
│ │ │ │ ├── Dia2Lib.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.xml
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.dll
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.xml
│ │ │ │ ├── OSExtensions.dll
│ │ │ │ └── TraceReloggerLib.dll
│ │ │ └── netstandard2.0
│ │ │ ├── Dia2Lib.dll
│ │ │ ├── Microsoft.Diagnostics.FastSerialization.dll
│ │ │ ├── Microsoft.Diagnostics.FastSerialization.xml
│ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.dll
│ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.xml
│ │ │ ├── OSExtensions.dll
│ │ │ └── TraceReloggerLib.dll
│ │ └── Microsoft.Diagnostics.Tracing.TraceEvent.2.0.42.nupkg
│ ├── Newtonsoft.Json.13.0.1
│ │ ├── lib
│ │ │ ├── net20
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── net35
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── net40
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── net45
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── netstandard1.0
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── netstandard1.3
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ └── netstandard2.0
│ │ │ ├── Newtonsoft.Json.dll
│ │ │ └── Newtonsoft.Json.xml
│ │ ├── LICENSE.md
│ │ ├── Newtonsoft.Json.13.0.1.nupkg
│ │ └── packageIcon.png
│ └── NtApiDotNet.1.1.33
│ ├── lib
│ │ ├── net461
│ │ │ ├── NtApiDotNet.dll
│ │ │ └── NtApiDotNet.xml
│ │ └── netstandard2.0
│ │ ├── NtApiDotNet.dll
│ │ └── NtApiDotNet.xml
│ └── NtApiDotNet.1.1.33.nupkg
├── README.md
├── RPCMon
│ ├── App.config
│ ├── app.manifest
│ ├── ColumnFilter.cs
│ ├── ColumnFilter.Designer.cs
│ ├── ColumnFilter.resx
│ ├── ColumnSelection.cs
│ ├── ColumnSelection.Designer.cs
│ ├── ColumnSelection.resx
│ ├── Control
│ │ ├── Engine.cs
│ │ ├── EventWrapper.cs
│ │ ├── Microsoft-Windows-RPC.cs
│ │ ├── RPCServerInfo.cs
│ │ └── Win32NativeMethods.cs
│ ├── Form1.cs
│ ├── Form1.Designer.cs
│ ├── Form1.resx
│ ├── FormAbout.cs
│ ├── FormAbout.Designer.cs
│ ├── FormAbout.resx
│ ├── FormBuildDB.cs
│ ├── FormBuildDB.Designer.cs
│ ├── FormBuildDB.resx
│ ├── FormHighlighting.cs
│ ├── FormHighlighting.Designer.cs
│ ├── FormHighlighting.resx
│ ├── FormSearch.cs
│ ├── FormSearch.Designer.cs
│ ├── FormSearch.resx
│ ├── ListViewColumnSorter.cs
│ ├── packages.config
│ ├── Program.cs
│ ├── Properties
│ │ ├── AssemblyInfo.cs
│ │ ├── Resources.Designer.cs
│ │ ├── Resources.resx
│ │ ├── Settings.Designer.cs
│ │ └── Settings.settings
│ ├── Resources
│ │ ├── drag-and-drop.png
│ │ ├── duplicate-disable.png
│ │ ├── duplicate.png
│ │ ├── eraser.png
│ │ ├── filter.png
│ │ ├── find.png
│ │ ├── grid-disable.png
│ │ ├── grid.png
│ │ ├── highlighter.png
│ │ ├── pause-button.png
│ │ ├── scroll-disable.png
│ │ ├── scroll.png
│ │ ├── share.png
│ │ ├── startIcon.png
│ │ └── stopIcon.png
│ ├── RPCMon.csproj
│ ├── RPCMon.csproj.user
│ └── Utils.cs
├── RPCMon.sln
└── TraceParser
├── Microsoft-Windows-RPC.cs
├── Microsoft-Windows-RPC.xml
├── TraceParserGen.exe
├── TraceParserGen.exe.config
├── TraceParserGen.pdb
└── TraceParserGen.xml
30 directories, 116 files
RPCMon是一款面向研究人员的图形界面工具,通过利用Windows事件追踪(ETW)技术,实现对RPC(远程过程调用)通信的监控与分析。该工具源自于一项关于宿主机与Windows容器之间RPC通讯的研究。
概览
RPCMon旨在为研究人员提供一个关于进程间RPC通讯的高层次视图。它的设计灵感来源于Procmon,使用起来非常简单,内部集成了James Forshaw开发的.NET RPC库。RPCMon能够展示被调用的RPC函数、调用它们的进程以及其他相关信息。
RPCMon内置了一个硬编码的RPC字典,用于快速处理RPC信息,该字典包含了关于RPC模块的信息。它还提供了构建RPC数据库的选项,因此如果硬编码的RPC字典中缺少某些细节,可以从您的计算机更新。
使用方法
以管理员权限双击EXE二进制文件("以管理员身份运行"),即可打开GUI窗口。
RPCMon需要一个数据库来获取RPC函数的详细信息,没有数据库将导致信息缺失。
要加载数据库,请点击DB -> Load DB...并选择您的数据库。您可以使用我们为此项目添加的数据库:/DB/RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json。
特点
- 详细展示RPC函数活动概览。
- 构建RPC数据库解析RPC模块或使用硬编码数据库。
- 基于单元格过滤\高亮显示行。
- 加粗特定行。
【实例截图】
文件清单
└── RPCMon-6923a1e0fb6f266a7d18f1aa5c17e02d3f2801a9
├── CODE_OF_CONDUCT.md
├── DB
│ └── RPC_UUID_Map_Windows10_1909_18363.1977.rpcdb.json
├── LICENSE
├── NOTICES.txt
├── Packages
│ ├── Microsoft.Diagnostics.Tracing.TraceEvent.2.0.42
│ │ ├── build
│ │ │ └── Microsoft.Diagnostics.Tracing.TraceEvent.props
│ │ ├── lib
│ │ │ ├── native
│ │ │ │ ├── amd64
│ │ │ │ │ ├── KernelTraceControl.dll
│ │ │ │ │ └── msdia140.dll
│ │ │ │ └── x86
│ │ │ │ ├── KernelTraceControl.dll
│ │ │ │ ├── KernelTraceControl.Win61.dll
│ │ │ │ └── msdia140.dll
│ │ │ ├── net45
│ │ │ │ ├── Dia2Lib.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.xml
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.dll
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.xml
│ │ │ │ ├── OSExtensions.dll
│ │ │ │ └── TraceReloggerLib.dll
│ │ │ ├── netstandard1.6
│ │ │ │ ├── Dia2Lib.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.dll
│ │ │ │ ├── Microsoft.Diagnostics.FastSerialization.xml
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.dll
│ │ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.xml
│ │ │ │ ├── OSExtensions.dll
│ │ │ │ └── TraceReloggerLib.dll
│ │ │ └── netstandard2.0
│ │ │ ├── Dia2Lib.dll
│ │ │ ├── Microsoft.Diagnostics.FastSerialization.dll
│ │ │ ├── Microsoft.Diagnostics.FastSerialization.xml
│ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.dll
│ │ │ ├── Microsoft.Diagnostics.Tracing.TraceEvent.xml
│ │ │ ├── OSExtensions.dll
│ │ │ └── TraceReloggerLib.dll
│ │ └── Microsoft.Diagnostics.Tracing.TraceEvent.2.0.42.nupkg
│ ├── Newtonsoft.Json.13.0.1
│ │ ├── lib
│ │ │ ├── net20
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── net35
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── net40
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── net45
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── netstandard1.0
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ ├── netstandard1.3
│ │ │ │ ├── Newtonsoft.Json.dll
│ │ │ │ └── Newtonsoft.Json.xml
│ │ │ └── netstandard2.0
│ │ │ ├── Newtonsoft.Json.dll
│ │ │ └── Newtonsoft.Json.xml
│ │ ├── LICENSE.md
│ │ ├── Newtonsoft.Json.13.0.1.nupkg
│ │ └── packageIcon.png
│ └── NtApiDotNet.1.1.33
│ ├── lib
│ │ ├── net461
│ │ │ ├── NtApiDotNet.dll
│ │ │ └── NtApiDotNet.xml
│ │ └── netstandard2.0
│ │ ├── NtApiDotNet.dll
│ │ └── NtApiDotNet.xml
│ └── NtApiDotNet.1.1.33.nupkg
├── README.md
├── RPCMon
│ ├── App.config
│ ├── app.manifest
│ ├── ColumnFilter.cs
│ ├── ColumnFilter.Designer.cs
│ ├── ColumnFilter.resx
│ ├── ColumnSelection.cs
│ ├── ColumnSelection.Designer.cs
│ ├── ColumnSelection.resx
│ ├── Control
│ │ ├── Engine.cs
│ │ ├── EventWrapper.cs
│ │ ├── Microsoft-Windows-RPC.cs
│ │ ├── RPCServerInfo.cs
│ │ └── Win32NativeMethods.cs
│ ├── Form1.cs
│ ├── Form1.Designer.cs
│ ├── Form1.resx
│ ├── FormAbout.cs
│ ├── FormAbout.Designer.cs
│ ├── FormAbout.resx
│ ├── FormBuildDB.cs
│ ├── FormBuildDB.Designer.cs
│ ├── FormBuildDB.resx
│ ├── FormHighlighting.cs
│ ├── FormHighlighting.Designer.cs
│ ├── FormHighlighting.resx
│ ├── FormSearch.cs
│ ├── FormSearch.Designer.cs
│ ├── FormSearch.resx
│ ├── ListViewColumnSorter.cs
│ ├── packages.config
│ ├── Program.cs
│ ├── Properties
│ │ ├── AssemblyInfo.cs
│ │ ├── Resources.Designer.cs
│ │ ├── Resources.resx
│ │ ├── Settings.Designer.cs
│ │ └── Settings.settings
│ ├── Resources
│ │ ├── drag-and-drop.png
│ │ ├── duplicate-disable.png
│ │ ├── duplicate.png
│ │ ├── eraser.png
│ │ ├── filter.png
│ │ ├── find.png
│ │ ├── grid-disable.png
│ │ ├── grid.png
│ │ ├── highlighter.png
│ │ ├── pause-button.png
│ │ ├── scroll-disable.png
│ │ ├── scroll.png
│ │ ├── share.png
│ │ ├── startIcon.png
│ │ └── stopIcon.png
│ ├── RPCMon.csproj
│ ├── RPCMon.csproj.user
│ └── Utils.cs
├── RPCMon.sln
└── TraceParser
├── Microsoft-Windows-RPC.cs
├── Microsoft-Windows-RPC.xml
├── TraceParserGen.exe
├── TraceParserGen.exe.config
├── TraceParserGen.pdb
└── TraceParserGen.xml
30 directories, 116 files
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论