Fibratus – это инструмент, способный захватить большую часть активности ядра Windows – создание и завершение процесса / потока, переключение контекста, ввод-вывод файловой системы, реестр, сетевая активность, загрузка / выгрузка DLL и многое другое.
События ядра могут быть легко переданы ряду выходных приемников, таких как брокеры сообщений AMQP, кластеры Elasticsearch или стандартный поток вывода.
Вы можете использовать filaments (легкие модули Python), чтобы расширить Fibratus своим собственным арсеналом инструментов и таким образом использовать всю мощь экосистемы Python.
Установка
- Загрузите последнюю версию (установщик Windows). Список изменений и более старые выпуски можно найти здесь.
- Кроме того, вы можете получить Fibratus -из PyPI.
Установите зависимости
Загрузите и установите Python 3.4.
Установите Visual Studio 2015 (вам понадобится только компилятор Visual C для сборки расширения kstreamc). Обязательно экспортируйте переменную среды VS100COMNTOOLS, чтобы она указала на %VS140COMNTOOLS%.
Установите Cython: pip install Cython >=0.23.4.
Установите fibratus через менеджер пакетов pip:
pip install fibratus