【亲测免费】 Winshark 开源项目常见问题解决方案

Winshark 是一个基于 Wireshark 的插件，用于捕获和解析 Windows 系统中的 ETW (Event Tracing for Windows) 日志。该项目主要使用 C++ 进行开发。

1. 项目基础介绍

Winshark 利用 libpcap 库作为后端来捕获 ETW 日志，并生成所有已知 ETW 提供者的解析器。它支持几乎所有的 Windows 日志技术，可以同时捕获网络和事件日志。Winshark 的特点包括：

• 无需外部 NDIS 驱动即可捕获网络流量。
• 允许在 Wireshark 中使用过滤功能来过滤事件日志。
• 能够按进程 ID 跟踪网络和系统日志。
• 能够将 Windows 日志和网络跟踪捕获到单个 pcap 文件中。
• 支持通过 NpEtw 文件系统筛选驱动捕获 NamedPipe 流量。

2. 新手常见问题及解决步骤

问题 1：如何安装 Winshark？

解决步骤：

1. 确保已经安装了 Wireshark。
2. 下载 Winshark 的源代码。
3. 使用 CMake 构建项目：

   git clone https://github.com/airbus-cert/winshark --recursive
   mkdir build_winshark
   cd build_winshark
   cmake ..
   cmake --build . --target package --config release
   

4. 根据构建指南完成安装。

问题 2：如何在 Wireshark 中设置 Winshark？

解决步骤：

1. 打开 Wireshark。
2. 在“编辑”菜单中选择“首选项”。
3. 选择“协议”下的“DLT_USER”。
4. 编辑封装表，将 DLT 147 设置为 Winshark。

问题 3：如何捕获和查看 ETW 日志？

解决步骤：

1. 确定 ETW 提供者的 GUID。
2. 在 Winshark 中配置要捕获的 ETW 提供者。
3. 运行 Winshark 并开始捕获。
4. 在 Wireshark 中查看捕获的 ETW 日志。

通过遵循这些步骤，新手可以更容易地开始使用 Winshark 并从中获得价值。