使用轻量级工具Sysmon监视你的系统

使用轻量级工具Sysmon监视你的系统

黑客软件hacker2019-06-28 10:21:1512071A+A-

使用轻量级工具Sysmon监视你的系统 第1张

"0×08 sysmon详细介绍

sysmon是由Windows Sysinternals荣誉出品的这款Sysinternals系列产品中的专用工具。它以系统进程和机器设备驱动安装的方式安裝在系统软件上,并维持常驻性。sysmon用于监控和纪录系统活动,并纪录到windows事件日志,能够出示相关系统进程建立,网络链接和文件创建時间变更的详细资料。

根据搜集应用Windows恶性事件非空子集或SIEM代理商转化成的恶性事件,随后剖析他们,您能够鉴别故意或出现异常主题活动,并知道入侵者和恶意程序在您的互联网上怎样实际操作。

0×81 sysmon特性

用详细的命令行纪录下子系统进程和父系统进程的建立个人行为。

应用sha1(默认设置),MD5,SHA256或IMPHASH纪录系统进程镜像文件的hash值。能够一起应用好几个hash,包含系统进程建立全过程中的系统进程GUID。

每一恶性事件中包括session的GUID。

1.纪录驱动安装或是载入的DLL镜像系统的签字以及hash。

2.纪录硬盘和卷的原始记录的载入post请求。

3.纪录数据连接,包含每一联接的源系统进程,ip地址,服务器端口,主机名和端口号名(能选)

11.要是变更注册表则全自动再次载入配备。

4.具备标准过虑,便于动态性包含或清除一些恶性事件。

6.在载入系统进程的前期转化成恶性事件,能纪录在繁杂的内核方式运作的恶意程序。

0×08 安裝

    Install:    Sysmon.exe -i      [-h <[sha1|md5|sha256|imphash|*],有限责任公司>] [-n [有限责任公司>]]

    [-l (有限责任公司>)]      Configure:  Sysmon.exe -c                    [--|[-h <[sha1|md5|sha256|imphash|*],有限责任公司>] [-n [有限责任公司>]]

                   [-l [有限责任公司>]]]      Uninstall:  Sysmon.exe -u

-c 升级或显示信息配备

-h 特定hash纪录的优化算法

-i 安裝,能用xml文档来升级配置文件

-l 纪录载入控制模块,可特定系统进程

-m 安裝恶性事件明细

-n 纪录网络链接

-r 检验资格证书是不是撤消

-u 卸载掉服务项目和驱动器

一键安装:

 sysmon -accepteula  –i -n 

特定配置文件(安裝时请说出-i)

sysmon -c XXX.xml 

注:安裝必须管理员权限并重新启动,windows 7 或是左右,电脑系统windows server 2010 及左右。

0×02 配置文件

在实际上自然环境中,因此环境和应用要求各有不同,而纪录全部的系统日志又看起来繁杂和浩物,此刻自定标准看起来至关重要。

sysmon出示了xml文件格式的配置文件来让客户自定过虑标准,配置文件的物品较为多,把个人总结的某些物品贴上去便捷大伙儿沟通交流。

1个xml配置文件的实例(xml英文大小写比较敏感)

 3.20""> 全句智能化原創-- Capture all hashes --> *  全句智能化原創-- Log all drivers except if the signature --> 全句智能化原創-- contains Microsoft or Windows -->  microsoft windows  全句智能化原創-- Do not log process termination -->  全句智能化原創-- Log network connection if the destination port equal 443 --> 全句智能化原創-- or 90, little process isn't InternetExplorer -->  443全句智能化原創

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 孤央时窥2022-05-28 12:26:48
  • xcept if the signature --> 全句智能化原創-- contains Microsoft or Windows -->  microsoft windows  全句智能

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理