Sysmon 是一个 Windows 系统的工具,可以在内核层面监控和记录操作系统的活动,用于系统安全分析。Sysmon 提供了一些强大的、全面的监控功能,能够监控操作系统的文件、网络连接、注册表键值等等。同时, Sysmon 可以将这些监控结果输出到事件日志,也可以将事件导出到CSV文件中,以方便事件的分析与处理。
一、基本介绍
Sysmon 是由 Windows 安全权威Mark Russinovich 创作,Sysmon 利用 Windows Event Log 来跟踪操作系统的活动,然后将其以 XML 数据格式输出。Sysmon 可以实现以下功能:
1. 监控进程创建、终止、注入DLL、创建服务等行为
2. 监控网络连接、端口号、连接状态等信息。
3. 监控文件创建、修改、删除、访问等信息
4. 监控注册表修改、访问等信息
5. 监控驱动程序加载和卸载的情况
6. 监控进程的访问令牌和IPC进程
二、安装与使用
安装的步骤非常简单,在其官方网站(https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)下载 Sysmon 程序压缩包,然后将它解压到本地磁盘即可。Sysmon 的使用也非常容易,对于 Windows 操作系统,只需要按照以下三个步骤即可:
1. 利用命令行工具进入 Sysmon 的官方下载目录,运行命令 Sysmon.exe –i 来安装 Sysmon,如下所示:
cd C:UserssysmonDesktopSysmon
sysmon.exe -i2. 在管理员权限下,运行命令 Sysmon.exe –c 配置文件.xml,对 Sysmon 进行配置。此处的配置文件对实际功能有着重要作用,XML 配置文件示例如下:
<Sysmon schemaversion="3.30">
<EventFiltering>
... (此处为配置内容,以省略)
</EventFiltering>
</Sysmon>3. 在管理员权限下,运行 Sysmon.exe –accepteula –i 来启动 Sysmon。此时可以在 Windows Event Log 中查看 Sysmon 输出的监控信息了。
三、功能与应用场景
Sysmon 的功能多样而全面,主要包括以下方面:
1. 监控进程的创建、终止、注入 DLL、创建服务等行为
Sysmon 可以对进程的创建、终止以及对进程进行的注入 DLL 和创建服务等行为进行监控。在实际使用中,Sysmon 可以通过以下方式有效地应用:
(1)根据进程创建记录来查找内存注入活动,可以查找系统中的恶意程序
(2)根据代码注入记录和进程创建记录来识别文件下发型攻击行为
2. 监控网络连接、端口号、连接状态等信息
Sysmon 能够监控网络连接、端口号、连接状态等信息,其中网络连接涉及到的协议包括 TCP 和 UDP。它主要用于以下两个方面的应用:
(1)根据网络连接记录查找网络入侵和恶意软件的传输行为
(2)根据网络连接记录查找外部命令和脚本执行的证据
3. 监控文件创建、修改、删除、访问等信息
Sysmon 可以对文件的各种操作进行监控,包括创建、修改、删除、访问等操作。其应用场景主要有两个:
(1)通过文件创建记录来查找恶意软件的行为,例如,一旦对某个目录创建大量的文件,就可以怀疑某个恶意软件在执行盗号操作
(2)根据文件访问记录追查认证和审核跟踪行为,例如,当某个文件突然被删除,就可以定位具体的撤销人员、原因等信息
4. 监控注册表修改、访问等信息
Sysmon 可以监控并记录对系统注册表的操作。注册表是 Windows 系统内的一个重要组成部分,保存着软件、驱动程序和系统设置的信息。Sysmon 可以用于以下两个方面的应用:
(1)丢失的注册表数据,有时会导致应用程序、服务和系统崩溃,对于一些可疑的行为,可以检测是否有对注册表进行了篡改
(2)检测对恶意软件的注册表修改攻击
5. 监控驱动程序加载和卸载的情况
Sysmon 可以监控驱动程序的加载和卸载情况,应用场景主要有以下两个:
(1)监控恶意驱动程序的加载行为并进行分析
(2)检测而来自其他应用程序的恶意加载驱动程序的攻击行为
四、常用命令
Sysmon 在实际应用中,可以利用以下几个命令进行操作:
Sysmon.exe -i
安装 Sysmon 程序,并将其安装为 Windows 服务,以使 Sysmon 开机自动运行。
Sysmon.exe -s
在监控过程中停用 Sysmon。
Sysmon.exe -t
检测 Sysmon 安装文件签名,以防止 Sysmon 及其配置文件被篡改。
Sysmon.exe -c 配置文件.xml
Sysmon 的大部分配置位于 XML 配置文件中。必须使用此命令从 XML 配置文件中更改 Sysmon 配置。
结语
本文介绍了 Sysmon 的基本介绍、安装与使用、功能与应用场景以及常用命令等方面的内容。作为一个全能编程开发工程师,Sysmon 是一款非常实用的工具,它可以有效地帮助用户监控并记录 Windows 操作系统的活动,有助于提高安全性。在使用 Sysmon 时,需要针对各种监控行为进行相应的分析和应用,以满足不同的实际需求。