Message Analyzer 再入門【2】

Message Analyzer 再入門【 2 】Murachi Akira aka hebikuzure

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

About me 村地　彰 aka hebikuzure http://www.murachi.net/ http://www.hebikuzure.com/ https://hebikuzure.wordpress.com/ Microsoft MVP ( 元 Internet Explorer) Apr. 2011 ～現 Visual Studio and Development

Technologies

2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #332

© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #333

好きなパケット

2015/9/28

SMB / SMB2 / SMB3


Microsoft Message Analyzer の入手と情報

2015/9/28

ダウンロードページhttp://www.microsoft.com/en-us/download/details.aspx?id=44226

最新版は　 ver. 1.3.1 (2015/7/30 リリース ) Message Analyzer Blog

http://blogs.technet.com/b/messageanalyzer/ サポートフォーラム

https://social.msdn.microsoft.com/Forums/windowsdesktop/en-us/home?forum=messageanalyzer


前回のおさらい

2015/9/28


ETW = Event Tracing for Windows

2015/9/28

Windows のコンポーネントに対してトレースログを出力させる仕組み Window のコンポーネント以外のカーネルモード / ユーザーモードドライバー、ユーザーモードアプリケーションでも実装可能 Checked Build によるデバッグプリントより高速でモジュール本来の動作に与える影響が少ない動的な有効化 / 無効化が可能出力されるログはバイナリデータ

表示 / 解析にはツールが必要


ETW の仕組み

2015/9/28http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より


ETW の仕組み

2015/9/28

トレース採取対象のドライバーアプリケーション

トレース有効化 / 無効化


ETW の仕組み

2015/9/28

トレースデータの配信

セッションの作成 / 管理


ETW の仕組み

2015/9/28

トレースの配信


ETW の仕組み

2015/9/28

Message Analyzer


参考資料

2015/9/28

ETW へのご招待http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/23/etw.aspx

Event Tracing for Windows (ETW)http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx

FAQ: Common Questions for ETW and Windows Event Loghttps://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-for-etw-and-windows-event-log

Event Tracing for Windows (ETW) Simplifiedhttps://support.microsoft.com/en-us/kb/2593157


ETW で「ネットワークトレース」

2015/9/28

プロバイダ「 Microsoft-Windows-NDIS-PacketCapture 」のトレースを採取する Windows 8 以降から利用可能なプロバイダ Network Monitor と同等のパケットキャプチャが可能


NDIS

2015/9/28

Network Driver Interface Specification %SystemRoot%\System32\Drivers\Ndis.sys

http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx


WFP のプロバイダーを利用する

2015/9/28


NDIS-PacketCapture プロバイダの問題

2015/9/28

Windows 7 以前では利用できないプロバイダを有効にするために管理者権限が必要※ Message Analyzer から利用する場合、 Message Analyzer を「管理者として実行」する必要があるループバックインターフェイス (Localhost /

127.0.01) のキャプチャができない


Microsoft-pef-WFP-MessageProvider

2015/9/28

Windows フィルタリングプラットフォーム (WFP) の ETW プロバイダー

WFP : ネットワークフィルタリングアプリケーションを作成するためのプラットフォームを提供する API およびシステムサービスのセットhttps://msdn.microsoft.com/ja-jp/library/aa366510.aspx


WFP のメリット

2015/9/28

Windows 7 / Windows Server 2012 でも利用できる(NDIS は Windows 8 / Windows Server 2012 R2 以降 )

管理者権限が無くてもキャプチャできる(NDIS でのキャプチャには管理者権限が必要 )

Loopback インターフェイスのキャプチャができる(NDIS では Loopback のキャプチャはできない )


Loopback のみキャプチャする

2015/9/28

Trace Scenario の中に「 Local Loopback Network 」があるプロバイダーは Microsoft-pef-WFP-MessageProvider IPv4 / IPv6 ともに InBound のみキャプチャ IP アドレス 127.0.0.1 / ::1 でフィルタリング


WFP のデメリット

2015/9/28

キャプチャしたデータの形式が一般的なパケットキャプチャツールと異なる

( 参考 : NDIS でキャプチャした場合 )

CAP 形式にエクスポートできない Ethernet フレーム情報が無いため


NDIS と WFP の使い分け

2015/9/28

可能であれば NDIS で採取した方がよい Windows 7 の場合、管理者権限がない場合は

WFP


参考情報

2015/9/28

Selecting Data to Capturehttps://msdn.microsoft.com/ja-jp/library/office/dn799002

PEF-WFP Layer Set Filtershttps://msdn.microsoft.com/ja-jp/library/office/jj729732


リモートキャプチャ

2015/9/28


リモートコンピューターの追加

2015/9/28

[New Session] – [Target Computers] で [Edit]

[Add] で新しいコンピューターを追加


リモートコンピューターの指定

2015/9/28

コンピュータ名 / ユーザー名 / パスワードを指定 NDIS プロバイダーの利用権限のあるユーザーを指定する

Localhost は [Delete] で削除


リモートキャプチャの実行

2015/9/28


参考情報

2015/9/28

Capturing Data Remotelyhttps://technet.microsoft.com/en-us/library/dn386835

Microsoft Message Analyzer Operating Guidehttps://technet.microsoft.com/en-us/library/jj649776

Technology

Message Analyzer 再入門【2】