Fibratus
一款专注于安全的现代Windows内核探索和可观测性工具
开始使用 »
文档
•
Filaments
•
下载
•
讨论
Fibratus是什么?
Fibratus是一个用于探索和跟踪Windows内核的工具。它可以让你捕获系统范围内的事件,如进程生命周期、文件系统I/O、注册表修改或网络请求等众多可观测性信号。简而言之,Fibratus不仅可以深入了解Windows内核的运行情况,还可以观察其上运行的进程。它不需要任何驱动程序或第三方软件。
事件可以被发送到各种输出接收器,或者导出到捕获文件中进行本地检查和取证分析。强大的过滤引擎允许深入挖掘事件流的内部,而规则引擎能够检测隐蔽的对手攻击和复杂的威胁。
你可以使用filaments来扩展Fibratus,添加你自己的工具库,从而利用Python生态系统的强大功能。
快速开始
查看教程了解如何加载和创建检测规则。
- 观察Microsoft Outlook在文件系统上创建附件
fibratus run file.operation = 'create' and file.name icontains '\\Content.Outlook\\'
- 搜寻远程线程创建
fibratus run kevt.name = 'CreateThread' and kevt.pid != thread.pid
- 将网络交互记录到捕获文件
fibratus capture kevt.category = 'net' -o conns.kcap
- 从捕获文件回放事件
fibratus replay net.dport in (443, 80) -k conns.kcap
- 运行用于监视文件系统变化的filament
fibratus run -f watch_files
特性
- :zap: 极速运行
- :satellite: 收集广泛的内核事件 - 从进程到网络可观测性信号
- :mag: 超强大的过滤和规则引擎
- :snake: 在内核事件流之上运行Python脚本
- :minidisc: 将事件流捕获到kcap文件并在任何地方回放
- :rocket: 将事件传输到Elasticsearch、RabbitMQ或控制台接收器
- :scissors: 转换内核事件
- :dart: 使用Yara扫描恶意进程和文件
- :file_folder: PE(可执行文件)内省
文档
设置
事件
过滤器和规则
捕获
文件线程
输出
转换器
警报
PE (可移植执行文件)
YARA
故障排除
由 Nedim Šabić Šabić 用❤️开发
由 Karina Slizova 用❤️设计标志