windowsでwiresharkを使わずにNWキャプチャする方法

現在、ここで利用しているMicrosoft Message Analyzerは廃止されています。こちらのtoolと併せてpcapを取得して下さい。

昨今のセキュリティ事情を考慮すると、
イントラ内のサーバーだから、という理由でwindowsファイヤーウォールを無効にできなくなってきた。

windowsファイヤーウォールがきちんと動作しているか、通信をキャプチャして確認したい。

wireshark portableを使うんだけれども、結局pcapをインストールしないといけないし・・

調べると、windows7以降であれば、netshを使い、以下のコマンドで通信をキャプチャできそう。

netsh trace start capture=yes traceFile={ファイルパス}.etl

やってみる。

c:\>netsh trace start capture=yes traceFile=c:\test_trace.etl

トレース構成:
-------------------------------------------------------------------
ステータス:           実行中
トレース ファイル:    C:\test_trace.etl
追加:                 オフ
循環:                 オン
最大サイズ:           250 MB
レポート:             オフ


c:\>netsh trace stop
トレースを関連付けています... 完了
データ収集を生成しています ... 完了
トレース ファイルと追加のトラブルシューティング情報は、"c:\test_trace.cab" とし
てコンパイルされました。
ファイルの場所 = c:\test_trace.etl
トレース セッションは正常に停止しました。

 

標準では250MBまでしかとれない様子。

以下のオプションで1,000MBまで増やせた。

maxsize=1000

ちなみに以下のオプションでNICが有効になった瞬間からトレースできるとのこと。
つまり、OSブート中の通信も取得できる。

persistent=yes

マルウェア解析時に応用できる。

 

出力されたファイルはetlファイル。event trace log の略。

このファイルをwiresharkで見れるように変換する必要がある。

Microsoft Message Analyzerを以下からダウンロードしインストール

https://www.microsoft.com/en-us/download/details.aspx?id=44226

「file」-「open」-「from file explorer」を選択し、生成された*.etlを開く

「file 」-「save as」を選択

「export」を選択するとcapファイルが選べるので「保存」

 

これでwiresharkで見れるようになる。

RATに感染したら、こんな感じで初動調査されるんだろうな。

2件のコメント

ただいまコメントは受け付けていません。