Sysmon 系统监控工具详解
Sysmon 是由 Windows Sysinternals 出品的一款系统监控工具,它是 Windows 系统服务和设备驱动程序,一旦安装在系统上,Sysmon 会在系统重新启动期间持续运行,以监视系统活动并将其记录到 Windows 事件日志中,通过使用相关日志收集工具收集并分析这些事件,用户可以识别恶意或异常活动,了解入侵者和恶意软件在网络中的运行方式,本文将详细介绍 Sysmon 的功能、使用方法以及常见问题解答。
一、Sysmon 功能
Sysmon 提供多种功能,用于详细监视系统活动,以下是 Sysmon 的主要功能:
1、进程创建监控:
记录当前和父进程的完整命令行。
使用 SHA1(默认值)、MD5、SHA256 或 IMPHASH 记录进程映像文件的哈希。
可以同时使用多个哈希。
在进程创建事件中包含进程 GUID,即使 Windows 重用进程 ID 时也可以使事件相关联。
在每个事件中都包含一个会话 GUID,以允许在同一登录会话上关联事件。
2、网络连接监控:
可选地记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。
3、文件创建时间更改检测:
检测文件创建时间的更改,以了解文件真正创建的时间,修改文件创建时间戳是恶意软件常用的技术,用来掩盖其踪迹。
4、注册表变更监控:
如果注册表中发生更改,则自动重新加载配置。
5、规则过滤:
动态包含或排除某些事件的规则过滤。
6、早期启动过程监控:
从启动过程的早期开始生成事件,以捕获甚至复杂的内核模式恶意软件进行的活动。
7、其他监控选项:
记录磁盘和卷的原始读取访问。
记录驱动程序或 DLL 的加载及其签名与哈希。
二、安装与配置
安装 Sysmon
可以使用以下命令行选项来安装 Sysmon:
sysmon64 -i [<configfile>]
:安装服务和驱动程序,可选地采用配置文件。
sysmon64 -c [<configfile>]
:更新已安装的 Sysmon 驱动程序的配置或转储当前配置,可选地采用配置文件。
sysmon64 -m
:安装事件清单(以及在服务安装时隐式完成)。
sysmon64 -s
:打印配置架构定义。
sysmon64 -u [force]
:卸载服务和驱动程序,即使未安装一些组件,使用“-u force”也会导致卸载继续进行。
示例:
使用默认设置进行安装(进程映像已经过 SHA1 哈希处理,且没有网络监视) sysmon -accepteula -i 使用配置文件安装 Sysmon sysmon -accepteula -i c:\windows\config.xml
更新配置
转储当前配置 sysmon -c 使用配置文件重新配置活动的 Sysmon sysmon -c c:\windows\config.xml 将配置更改为默认设置 sysmon -c
三、日志事件解析
Sysmon 会生成各种类型的事件,每种事件类型都有特定的事件 ID 和相关信息,以下是一些常见的事件 ID 及其描述:
事件 ID 1:进程创建:
提供有关新创建进程的扩展信息,包括完整命令行、ProcessGUID 和哈希值。
事件 ID 2:进程更改文件创建时间:
当进程明确修改文件创建时间时,将注册更改文件创建时间事件,此事件有助于跟踪文件的实际创建时间。
事件 ID 3:网络连接:
记录计算机上的 TCP/UDP 连接,默认禁用,每个连接都通过 ProcessId 和 ProcessGuid 字段链接到一个进程。
事件 ID 4:Sysmon 服务状态已更改:
报告 Sysmon 服务的状态(已启动或已停止)。
事件 ID 5:进程终止:
报告进程的终止时间,提供进程的 UtcTime、ProcessGuid 和 ProcessId。
事件 ID 6:驱动程序已加载:
提供系统上正在加载的驱动程序的相关信息,包括已配置的哈希以及签名信息。
事件 ID 7:映像已加载:
记录特定进程中加载模块的时间,默认处于禁用状态,需要使用“-l”选项进行配置。
事件 ID 8:CreateRemoteThread:
检测一个进程在另一个进程中创建线程的时间,通常用于代码注入。
事件 ID 9:RawAccessRead:
检测进程使用“\\.\”从驱动器进行读取操作的时间,通常用于数据泄漏。
四、FAQs
Q1: Sysmon 是否会影响系统性能?
A1: Sysmon 设计为轻量级工具,对系统性能的影响较小,监视大量事件(如所有图像加载事件)可能会产生显著的日志记录量,从而影响性能,建议根据实际需求配置规则过滤,以减少不必要的日志记录。
Q2: Sysmon 如何检测恶意活动?
A2: Sysmon 通过监视系统活动并记录到事件日志中,结合日志分析工具,可以识别出与正常行为偏离的活动,通过检测文件创建时间的更改、不寻常的网络连接或进程创建活动,可以发现潜在的恶意软件活动,Sysmon 还可以检测内核模式的恶意软件活动,通过早期启动过程监控来捕获复杂威胁。
Sysmon 是一款功能强大的系统监控工具,能够帮助用户实时监控系统活动并识别潜在的安全威胁,通过合理配置和使用日志分析工具,用户可以充分利用 Sysmon 提供的详细信息来保护系统安全。
以上内容就是解答有关“sysmon”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。