ホーム › System.Diagnostics.Etw › CveEventWrite
CveEventWrite
関数CVE脆弱性の悪用検知を示すETWイベントを記録する。
シグネチャ
// ADVAPI32.dll
#include <windows.h>
INT CveEventWrite(
LPCWSTR CveId,
LPCWSTR AdditionalDetails // optional
);パラメーター
| 名前 | 型 | 方向 | 説明 |
|---|---|---|---|
| CveId | LPCWSTR | in | このイベントを発生させる対象となる脆弱性に関連付けられた CVE ID へのポインター。 |
| AdditionalDetails | LPCWSTR | inoptional | このイベントの利用者(コンシューマー)に対してイベント発行者が提供したい追加情報を示す文字列へのポインター。 |
戻り値の型: INT
公式ドキュメント
ユーザーモードアプリケーションでセキュリティ脆弱性の悪用が試みられたことを検出した際に、イベントを発行するためのトレース関数です。
戻り値
成功した場合は ERROR_SUCCESS を返し、エラーの場合は次のいずれかの値を返します。
| 戻り値 | 説明 |
|---|---|
| 1 つ以上のパラメーターが無効です。 | |
| イベントのサイズが許容される最大値(64k からヘッダーを引いたサイズ)を超えています。 | |
| セッションのバッファーサイズがイベントに対して小さすぎます。 | |
| いっぱいになったバッファーをディスクへフラッシュしようとしているが、ディスク I/O が十分に速く行われていない場合に発生します。 これはディスクが遅く、かつイベントのトラフィックが多い場合に起こります。最終的に空き(空)のバッファーがなくなり、 イベントは破棄されます。 | |
| リアルタイム再生ファイルがいっぱいです。リアルタイムコンシューマーが再生ファイルからイベントを消費するまで、 イベントはセッションに記録されません。このエラーコードを理由にイベントの記録を停止しないでください。 |
解説(Remarks)
CveEventWrite 関数は CVE ベースのイベントを発行します。この関数は、既知のパッチ適用済み脆弱性を悪用しようとする試みがアプリケーションによって検出された場合のみ呼び出してください。理想的には、この関数呼び出しは修正(更新)そのものの一部として追加されるべきです。
このイベントの既定のコンシューマーは EventLog-Application です。別のコンシューマーを有効にするには、そのプロバイダーをコンシューマーセッションに追加できます。
Provider GUID: 85a62a0d-7e17-485f-9d4f-749a287193a6
Source Name: Microsoft-Windows-Audit-CVE または Audit-CVE
出典・ライセンス: 上記「公式ドキュメント」の内容は Microsoft の Win32 API ドキュメント(MicrosoftDocs/sdk-api)を日本語に翻訳・改変したものです。© Microsoft Corporation. CC BY 4.0 で提供。
Microsoft 公式リファレンス: 英語 (en-us) · 日本語 (ja-jp) · 原文ソース (GitHub)
Microsoft 公式リファレンス: 英語 (en-us) · 日本語 (ja-jp) · 原文ソース (GitHub)
各言語での呼び出し定義
// ADVAPI32.dll
#include <windows.h>
INT CveEventWrite(
LPCWSTR CveId,
LPCWSTR AdditionalDetails // optional
);[DllImport("ADVAPI32.dll", ExactSpelling = true)]
static extern int CveEventWrite(
[MarshalAs(UnmanagedType.LPWStr)] string CveId, // LPCWSTR
[MarshalAs(UnmanagedType.LPWStr)] string AdditionalDetails // LPCWSTR optional
);<DllImport("ADVAPI32.dll", ExactSpelling:=True)>
Public Shared Function CveEventWrite(
<MarshalAs(UnmanagedType.LPWStr)> CveId As String, ' LPCWSTR
<MarshalAs(UnmanagedType.LPWStr)> AdditionalDetails As String ' LPCWSTR optional
) As Integer
End Function' CveId : LPCWSTR
' AdditionalDetails : LPCWSTR optional
Declare PtrSafe Function CveEventWrite Lib "advapi32" ( _
ByVal CveId As LongPtr, _
ByVal AdditionalDetails As LongPtr) As Long
' VBA7前提(PtrSafe)。32bit Office では LongPtr→Long。Integer=16bit / Long=32bit / LongLong=64bit。import ctypes
from ctypes import wintypes
CveEventWrite = ctypes.windll.advapi32.CveEventWrite
CveEventWrite.restype = ctypes.c_int
CveEventWrite.argtypes = [
wintypes.LPCWSTR, # CveId : LPCWSTR
wintypes.LPCWSTR, # AdditionalDetails : LPCWSTR optional
]require 'fiddle'
require 'fiddle/import'
lib = Fiddle.dlopen('ADVAPI32.dll')
CveEventWrite = Fiddle::Function.new(
lib['CveEventWrite'],
[
Fiddle::TYPE_VOIDP, # CveId : LPCWSTR
Fiddle::TYPE_VOIDP, # AdditionalDetails : LPCWSTR optional
],
Fiddle::TYPE_INT)#[link(name = "advapi32")]
extern "system" {
fn CveEventWrite(
CveId: *const u16, // LPCWSTR
AdditionalDetails: *const u16 // LPCWSTR optional
) -> i32;
}
// crates: windows-sys provides ready-made bindings for this API.$sig = @"
[DllImport("ADVAPI32.dll")]
public static extern int CveEventWrite([MarshalAs(UnmanagedType.LPWStr)] string CveId, [MarshalAs(UnmanagedType.LPWStr)] string AdditionalDetails);
"@
$api = Add-Type -MemberDefinition $sig -Name 'ADVAPI32_CveEventWrite' -Namespace Win32 -PassThru
# $api::CveEventWrite(CveId, AdditionalDetails)#uselib "ADVAPI32.dll"
#func global CveEventWrite "CveEventWrite" sptr, sptr
; CveEventWrite CveId, AdditionalDetails ; 戻り値は stat
; CveId : LPCWSTR -> "sptr"
; AdditionalDetails : LPCWSTR optional -> "sptr"
; ※HSP3.7は #func のため戻り値はシステム変数 stat に格納されます。#uselib "ADVAPI32.dll"
#cfunc global CveEventWrite "CveEventWrite" wstr, wstr
; res = CveEventWrite(CveId, AdditionalDetails)
; CveId : LPCWSTR -> "wstr"
; AdditionalDetails : LPCWSTR optional -> "wstr"; INT CveEventWrite(LPCWSTR CveId, LPCWSTR AdditionalDetails)
#uselib "ADVAPI32.dll"
#cfunc global CveEventWrite "CveEventWrite" wstr, wstr
; res = CveEventWrite(CveId, AdditionalDetails)
; CveId : LPCWSTR -> "wstr"
; AdditionalDetails : LPCWSTR optional -> "wstr"import (
"golang.org/x/sys/windows"
"unsafe"
)
var (
advapi32 = windows.NewLazySystemDLL("ADVAPI32.dll")
procCveEventWrite = advapi32.NewProc("CveEventWrite")
)
// CveId (LPCWSTR), AdditionalDetails (LPCWSTR optional)
r1, _, err := procCveEventWrite.Call(
uintptr(unsafe.Pointer(windows.StringToUTF16Ptr(CveId))),
uintptr(unsafe.Pointer(windows.StringToUTF16Ptr(AdditionalDetails))),
)
_ = err // syscall.Errno (valid when the call sets last-error)
_ = r1 // INTfunction CveEventWrite(
CveId: PWideChar; // LPCWSTR
AdditionalDetails: PWideChar // LPCWSTR optional
): Integer; stdcall;
external 'ADVAPI32.dll' name 'CveEventWrite';result := DllCall("ADVAPI32\CveEventWrite"
, "WStr", CveId ; LPCWSTR
, "WStr", AdditionalDetails ; LPCWSTR optional
, "Int") ; return: INT●CveEventWrite(CveId, AdditionalDetails) = DLL("ADVAPI32.dll", "int CveEventWrite(char*, char*)")
# 呼び出し: CveEventWrite(CveId, AdditionalDetails)
# CveId : LPCWSTR -> "char*"
# AdditionalDetails : LPCWSTR optional -> "char*"
# なでしこ1は32bit・ANSI(Shift_JIS)。文字列=char*(ANSI)、ポインタ/ハンドル=void*(4byte)。const std = @import("std");
extern "advapi32" fn CveEventWrite(
CveId: [*c]const u16, // LPCWSTR
AdditionalDetails: [*c]const u16 // LPCWSTR optional
) callconv(std.os.windows.WINAPI) i32;proc CveEventWrite(
CveId: WideCString, # LPCWSTR
AdditionalDetails: WideCString # LPCWSTR optional
): int32 {.importc: "CveEventWrite", stdcall, dynlib: "ADVAPI32.dll".}pragma(lib, "advapi32");
extern(Windows)
int CveEventWrite(
const(wchar)* CveId, // LPCWSTR
const(wchar)* AdditionalDetails // LPCWSTR optional
);ccall((:CveEventWrite, "ADVAPI32.dll"), stdcall, Int32,
(Cwstring, Cwstring),
CveId, AdditionalDetails)
# CveId : LPCWSTR -> Cwstring
# AdditionalDetails : LPCWSTR optional -> Cwstring
# stdcall は 32bit のみ意味を持つ(x64 では無視)。local ffi = require("ffi")
ffi.cdef[[
int32_t CveEventWrite(
const uint16_t* CveId,
const uint16_t* AdditionalDetails);
]]
local advapi32 = ffi.load("advapi32")
-- advapi32.CveEventWrite(CveId, AdditionalDetails)
-- CveId : LPCWSTR
-- AdditionalDetails : LPCWSTR optional
-- 構造体/GUIDへのポインタは cdef が通るよう void* で表記(実型は各引数コメント参照)。値渡し構造体・enum は対応する typedef を cdef に追加すること。const koffi = require('koffi');
const lib = koffi.load('ADVAPI32.dll');
const CveEventWrite = lib.func('__stdcall', 'CveEventWrite', 'int32_t', ['str16', 'str16']);
// CveEventWrite(CveId, AdditionalDetails)
// CveId : LPCWSTR -> 'str16'
// AdditionalDetails : LPCWSTR optional -> 'str16'
// 出力ポインタは koffi.out(...) で包む。構造体は koffi.struct で定義。const lib = Deno.dlopen("ADVAPI32.dll", {
CveEventWrite: { parameters: ["buffer", "buffer"], result: "i32" },
});
// lib.symbols.CveEventWrite(CveId, AdditionalDetails)
// CveId : LPCWSTR -> "buffer"
// AdditionalDetails : LPCWSTR optional -> "buffer"
// 文字列引数は "buffer"(NUL 終端のバイト列を Uint8Array で渡す)。
// 値渡し構造体は { struct: [ ...field types... ] } を使用。<?php
$ffi = FFI::cdef(<<<C
int32_t CveEventWrite(
const uint16_t* CveId,
const uint16_t* AdditionalDetails);
C, "ADVAPI32.dll");
// $ffi->CveEventWrite(CveId, AdditionalDetails);
// CveId : LPCWSTR
// AdditionalDetails : LPCWSTR optional
// 構造体/GUIDへのポインタは cdef が通るよう void* で表記(実型は各引数コメント参照)。値渡し構造体・enum は対応する typedef を cdef に追加すること。
// WINAPI(stdcall): x64 では呼出規約が統一されるため問題なし。x86 では __stdcall 対応のラッパが必要な場合あり。import com.sun.jna.*;
import com.sun.jna.ptr.*;
import com.sun.jna.win32.StdCallLibrary;
import com.sun.jna.win32.W32APIOptions;
public interface Advapi32 extends StdCallLibrary {
Advapi32 INSTANCE = Native.load("advapi32", Advapi32.class);
int CveEventWrite(
WString CveId, // LPCWSTR
WString AdditionalDetails // LPCWSTR optional
);
}@[Link("advapi32")]
lib LibADVAPI32
fun CveEventWrite = CveEventWrite(
CveId : UInt16*, # LPCWSTR
AdditionalDetails : UInt16* # LPCWSTR optional
) : Int32
end
# 構造体/GUID/enum は lib 内に対応する型定義が必要。
# 呼出規約: x64 は規約統一のため OK。x86(32bit)は WINAPI=stdcall だが Crystal の fun に stdcall 付与構文がなく非対応。import 'dart:ffi';
import 'package:ffi/ffi.dart';
typedef CveEventWriteNative = Int32 Function(Pointer<Utf16>, Pointer<Utf16>);
typedef CveEventWriteDart = int Function(Pointer<Utf16>, Pointer<Utf16>);
final CveEventWrite = DynamicLibrary.open('ADVAPI32.dll')
.lookupFunction<CveEventWriteNative, CveEventWriteDart>('CveEventWrite');
// CveId : LPCWSTR -> Pointer<Utf16>
// AdditionalDetails : LPCWSTR optional -> Pointer<Utf16>
// 文字列は package:ffi の "...".toNativeUtf16()/toNativeUtf8() で変換。{$mode objfpc}{$H+}
function CveEventWrite(
CveId: PWideChar; // LPCWSTR
AdditionalDetails: PWideChar // LPCWSTR optional
): Integer; stdcall;
external 'ADVAPI32.dll' name 'CveEventWrite';import Foreign
import Foreign.C.Types
import Foreign.C.String
foreign import stdcall safe "CveEventWrite"
c_CveEventWrite :: CWString -> CWString -> IO Int32
-- CveId : LPCWSTR -> CWString
-- AdditionalDetails : LPCWSTR optional -> CWString
-- 要 GHC(Windows)。stdcall は x64 では ccall として扱われる。ブロックする API は safe 呼び出し推奨。open Ctypes
open Foreign
let cveeventwrite =
foreign "CveEventWrite"
((ptr uint16_t) @-> (ptr uint16_t) @-> returning int32_t)
(* CveId : LPCWSTR -> (ptr uint16_t) *)
(* AdditionalDetails : LPCWSTR optional -> (ptr uint16_t) *)
(* foreign は cdecl 前提。x64 Windows では WINAPI と一致。構造体は ctypes structure を定義のこと。 *)(cffi:define-foreign-library advapi32 (t "ADVAPI32.dll"))
(cffi:use-foreign-library advapi32)
(cffi:defcfun ("CveEventWrite" cve-event-write :convention :stdcall) :int32
(cve-id (:string :encoding :utf-16le)) ; LPCWSTR
(additional-details (:string :encoding :utf-16le))) ; LPCWSTR optional
; isize/usize(INT_PTR/SIZE_T)は x64 前提で :int64/:uint64。x86 では :int32/:uint32。use Win32::API;
my $CveEventWrite = Win32::API::More->new('ADVAPI32',
'int CveEventWrite(LPCWSTR CveId, LPCWSTR AdditionalDetails)');
# my $ret = $CveEventWrite->Call($CveId, $AdditionalDetails);
# CveId : LPCWSTR -> LPCWSTR
# AdditionalDetails : LPCWSTR optional -> LPCWSTR
# 値渡し構造体は pack() した文字列、または Win32::API::Struct を使用。