Как работает аудит событий RPC в Windows?

Аудит событий RPC в Windows работает за счёт регистрации результатов вызовов RPC между клиентом и сервером. blog.trailofbits.com События записываются в парах задач: RpcClientCall и RpcServerCall, которые начинаются и останавливаются. blog.trailofbits.com

В событиях начала содержится подробная информация об интерфейсе сервера RPC, например протокол, номер процедуры, опции и аутентификация, использованные в вызове. blog.trailofbits.com

Для аудита событий RPC в Windows можно использовать, например, инструмент RPC Investigator (RPCI). blog.trailofbits.com github.com Он предоставляет визуальный интерфейс для основных возможностей платформы NtApiDotNet, включая: blog.trailofbits.com github.com

• перечисление всех активных серверов RPC ALPC; blog.trailofbits.com github.com
• разбор серверов RPC из любого PE-файла; blog.trailofbits.com github.com
• разбор серверов RPC из процессов и их загруженных модулей, включая сервисы; blog.trailofbits.com github.com
• интеграцию серверов символов; blog.trailofbits.com github.com
• экспорт определений серверов в виде сериализованных объектов .NET для собственного скриптинга. blog.trailofbits.com github.com

Также есть инструмент RPC Sniffer, который позволяет в режиме реального времени просматривать данные, связанные с RPC, через Event Tracing for Windows (ETW). blog.trailofbits.com github.com