狠狠撸

Message Analyzer 再入門【2】
Murachi Akira aka hebikuzure
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International
License.

About me
? 村地彰 aka hebikuzure
? http://www.murachi.net/
? http://www.hebikuzure.com/
? https://hebikuzure.wordpress.com/
? Microsoft MVP(元 Internet Explorer)Apr. 2011 ～
現 Visual Studio and Development Technologies
2015/9/28? 2015 Murachi Akira - CC BY-NC-ND - #pakeana #332

好きなパケット
?SMB / SMB2 / SMB3

Microsoft Message Analyzer の入手と情報
? ダウンロードページ
http://www.microsoft.com/en-
us/download/details.aspx?id=44226
? 最新版は ver. 1.3.1 (2015/7/30 リリース)
? Message Analyzer Blog
http://blogs.technet.com/b/messageanalyzer/
? サポートフォーラム
https://social.msdn.microsoft.com/Forums/windowsdes
ktop/
en-us/home?forum=messageanalyzer

前回のおさらい

ETW = Event Tracing for Windows
? Windows のコンポーネントに対してトレースログを出力
させる仕組み
? Window のコンポーネント以外のカーネルモード/ユー
ザーモードドライバー、ユーザーモードアプリケーション
でも実装可能
? Checked Build によるデバッグプリントより高速でモ
ジュール本来の動作に与える影響が少ない
? 動的な有効化/無効化が可能
? 出力されるログはバイナリデータ
? 表示/解析にはツールが必要

ETW の仕組み
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より

ETW の仕組み
トレース採取対象の
ドライバー
アプリケーション
トレース有効化/無効化

ETW の仕組み
トレースデータの配信
セッションの作成/管理

ETW の仕組み
トレースの配信

ETW の仕組み
Message Analyzer

参考資料
? ETW へのご招待
http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/2
3/etw.aspx
? Event Tracing for Windows (ETW)
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/
27/event-tracing-for-windows-etw.aspx
? FAQ: Common Questions for ETW and Windows Event Log
https://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-
41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-
for-etw-and-windows-event-log
? Event Tracing for Windows (ETW) Simplified
https://support.microsoft.com/en-us/kb/2593157

ETW で「ネットワークトレース」
? プロバイダ「Microsoft-Windows-NDIS-
PacketCapture」のトレースを採取する
? Windows 8 以降から利用可能なプロバイダ
? Network Monitor と同等のパケットキャプチャが可能

NDIS
? Network Driver Interface Specification
? %SystemRoot%System32DriversNdis.sys
http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx

WFP のプロバイダーを利用する

NDIS-PacketCapture プロバイダの問題
? Windows 7 以前では利用できない
? プロバイダを有効にするために管理者権限が必要
※ Message Analyzer から利用する場合、Message
Analyzer を「管理者として実行」する必要がある
? ループバックインターフェイス (Localhost / 127.0.01)
のキャプチャができない

Microsoft-pef-WFP-MessageProvider
? Windows フィルタリングプラットフォーム (WFP) の
ETW プロバイダー
? WFP :ネットワークフィルタリングアプリケーションを作
成するためのプラットフォームを提供する API およびシ
ステムサービスのセット
https://msdn.microsoft.com/ja-
jp/library/aa366510.aspx

WFP のメリット
? Windows 7 / Windows Server 2012 でも利用できる
(NDIS は Windows 8 / Windows Server 2012 R2 以
降)
? 管理者権限が無くてもキャプチャできる
(NDIS でのキャプチャには管理者権限が必要)
? Loopback インターフェイスのキャプチャができる
(NDIS では Loopback のキャプチャはできない)

Loopback のみキャプチャする
? Trace Scenario の中に「Local Loopback Network」が
ある
? プロバイダーはMicrosoft-pef-WFP-MessageProvider
? IPv4 / IPv6 ともに InBound のみキャプチャ
? IP アドレス 127.0.0.1 / ::1 でフィルタリング

WFP のデメリット
? キャプチャしたデータの形式が一般的なパケットキャプ
チャツールと異なる
? (参考: NDIS でキャプチャした場合)
? CAP 形式にエクスポートできない
? Ethernet フレーム情報が無いため

NDIS と WFP の使い分け
? 可能であれば NDIS で採取した方がよい
? Windows 7 の場合、管理者権限がない場合は WFP

参考情報
? Selecting Data to Capture
jp/library/office/dn799002
? PEF-WFP Layer Set Filters
jp/library/office/jj729732

リモートキャプチャ

リモートコンピューターの追加
? [New Session] – [Target Computers] で [Edit]
? [Add] で新しいコンピューターを追加

リモートコンピューターの指定
? コンピュータ名 / ユーザー名 / パスワードを指定
? NDIS プロバイダーの利用権限のあるユーザーを指定する
? Localhost は [Delete] で削除

リモートキャプチャの実行

参考情報
? Capturing Data Remotely
https://technet.microsoft.com/en-us/library/dn386835
? Microsoft Message Analyzer Operating Guide
https://technet.microsoft.com/en-us/library/jj649776

狠狠撸

Message Analyzer 再入門【2】

More Related Content

Message Analyzer 再入門【2】