Event Tracing for Windows (ETW) 是 Windows 中一種高效追蹤系統事件的方式。 Windows 提供 providers 可紀錄系統中各種不同的重要事件，幫助找到潛在的異常行為。由於 ETW 可記錄詳細且多樣的紀錄資訊，其已成為事件應變、防毒軟體及 EDR 等工具中重要的資訊來源。.NET Framework 在 Windows 上因其豐富的功能性及方便性，廣受開發人員使用，但同時也成為駭客的熱門選項。聚焦於 .NET 惡意程式，本場演講將研究如何透過 ETW 監控系統行為，幫助偵測惡意活動。接著，收集系統中的重要事件並且找到惡意活動留下的關鍵數位足跡，初步篩選可疑活動。 並且實際講解近期真實 malware 案例分析，了解如何透過 ETW 分析系統行為鎖定惡意活動。最後統計近期在台灣活動之 .NET 惡意程式的行為分佈。